Free confirme la fuite des « IBAN de certains abonnés »
Il a Free, tout est parti
Ce week-end a été assez agité chez Free. L’opérateur a prévenu ses clients d’une fuite de données personnelles. Le pirate publiait de son côté 100 000 lignes de données, avec des IBAN, comme un pied de nez à Free qui ne parlait pas des données bancaires. L’opérateur nous confirme aujourd’hui que certains IBAN des clients Freebox sont bien dans la nature.
Le 28 octobre à 09h32
3 min
Sécurité
Sécurité
À partir de vendredi soir et durant le week-end, Free a envoyé des emails à ses clients (fixe et mobile) pour les informer d’une fuite de données personnelles suite à une « cyberattaque ciblant un outil de gestion ».
Le pirate publie un fichier avec 100 000 lignes
« Nom, prénom, adresses email et postale, date et lieu de naissance, numéro de téléphone, identifiant abonné et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non) » ont été récupérés par le ou les pirates. « Aucun de vos mots de passe n’est concerné », encore heureux…
L’opérateur ne parlait alors pas d’une fuite de données bancaires, alors que le pirate revendiquait avoir en sa possession cinq millions d’IBAN. Ce week-end, après les premiers emails de Free, le pirate a mis en ligne à qui veut le télécharger un fichier texte avec « plus de 100 000 lignes d'IBAN français de clients Free ».
Mises aux enchères des données, à 70 000 dollars
« Une copie des données est sur le point d'être vendue plus de 70 000 dollars. Si l'entreprise ne participe pas à cette unique vente aux enchères dans les prochains jours, cette copie sera vendue, ce qui entraînera de graves conséquences pour les clients, et sera probablement divulguée publiquement sur les forums dans un avenir proche », ajoute le pirate.
Free confirme la fuite d’IBAN et prévient ses clients
On y retrouve bien les données listées par Free, mais aussi des IBAN. Contacté, Free nous confirme que « les IBAN de certains abonnés ont été concernés et ces derniers ont été informés par mail ». Cela ne concerne que des clients Freebox (sur le fixe donc). L’opérateur ne donne pas de chiffres sur l’étendue des dégâts, impossible donc de confirmer les 19 millions de clients concernés et les 5 millions d’emails annoncés par le pirate.
Effectivement, dans un email reçu ce matin pour une de nos lignes (avec une Freebox), le message n’est plus tout à fait le même :
« Nous vous écrivons afin de vous informer que Free a été victime d’une cyberattaque ciblant un outil de gestion.
Cette attaque a entrainé un accès non autorisé à une partie des données personnelles associées à votre compte abonné : nom, prénom, adresses email et postale, numéro de téléphone, identifiant abonné, IBAN et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non) ».
Le 28 octobre à 09h32
Free confirme la fuite des « IBAN de certains abonnés »
-
Le pirate publie un fichier avec 100 000 lignes
-
Mises aux enchères des données, à 70 000 dollars
-
Free confirme la fuite d’IBAN et prévient ses clients
Commentaires (73)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 28/10/2024 à 09h44
Le 28/10/2024 à 09h50
Le 28/10/2024 à 12h40
Si c'est rentable, pourquoi s'arrêter.
Le 29/10/2024 à 12h50
Le 29/10/2024 à 14h19
Le 30/10/2024 à 12h04
Le 30/10/2024 à 13h05
Le 28/10/2024 à 09h48
Est ce qu'un petit article / paragraphe sur les risques encouru est possible ?
Y a t il un moyen de s'en protéger ?
Le 28/10/2024 à 09h58
Le 28/10/2024 à 09h59
Le 28/10/2024 à 10h07
Le 28/10/2024 à 10h43
Le 28/10/2024 à 10h19
Bonjour l'usurpation d'identité
Le 28/10/2024 à 10h48
Donc, à mon avis, la seule protection c'est de vérifier consciencieusement son compte. Ce qui peut être très chronophage quand on a beaucoup d'opérations avec des intitulés pas toujours explicites.
Le 28/10/2024 à 11h14
Le 29/10/2024 à 14h16
Tu vas sur le site de la banque, tu génères une clef à usage unique que tu donnes au créancier et hop. Tu n’as pas besoin de fournir ton IBAN ou autre, et tu bénéficies d’un contrôle beaucoup plus précis.
Mais ça implique une vraie volonté politique d’imposer cette solution. Les banques n’ayant aucun intérêt à pousser à une meilleure sécurité (elles ont déjà poussé pour passer de liste blanche à liste noire il y a quelques années).
Le 28/10/2024 à 17h02
Le 28/10/2024 à 11h44
La seule solution pour être tranquille je pense est d'être chez une banque qui permet à ses clients de faire une liste de créanciers autorisés via leur numéro ICS indiqué sur le mandat. C'est possible à la BNP, visiblement pas à la Poste (je n ai pas trouvé d'option pour activer ça)...
À nous ou aux autorités de faire pression sur les établissements bancaires pour que ce service soit disponible et gerable facilement.
Le 28/10/2024 à 11h51
Le 28/10/2024 à 16h12
A mon avis, cette possibilité de mettre en place une liste blanche des créanciers autorisés est quasi généralisée maintenant dans les banques traditionnelles. En revanche les néobanques ne semblent pas la proposer, sauf erreur.
Le 28/10/2024 à 17h04
La conseillère n'a jamais été capable de me dire comment l'activer (ou de demander à ses supérieurs).
Le 29/10/2024 à 15h36
Okay, je pars en courant....
Le 31/10/2024 à 19h48
Le 28/10/2024 à 13h47
Il vous est possible de révoquer un Mandat, ce qui impose au créancier de vous en faire signer un autre, avec une autre référence.
Il faudrait rendre cette opération simple, systématique (en cas de doute) et/ou régulière (comme l'obligation de changer les mots de passe imposée par certains), ça obligerais à faire régulièrement le point sur les autorisations de prélèvement accordées.
Le 28/10/2024 à 16h10
Le 28/10/2024 à 16h13
Le 28/10/2024 à 16h19
Le 29/10/2024 à 10h27
Le 29/10/2024 à 10h53
Le 29/10/2024 à 11h06
Reste que peut être que le conseiller (ou certains services supports) vont du zèle. Le plus simple consiste à formuler une réclamation auprès de votre agence et les choses devraient se débloquer plus rapidement car la règlementation sur le sujet ne leur laisse pas de marge de manœuvre.
Le 29/10/2024 à 13h40
Modifié le 28/10/2024 à 16h19
Le 28/10/2024 à 16h36
- Le créancier est dans la zone SEPA (EEE/UE): ta banque accepte automatiquement le mandat et tu as 13 mois pour contester.
- Le créancier est hors zone SEPA: ta banque te demande une confirmation préalable.
Cas particuliers:
- chanceux: ta banque demande confirmation préalable pour les créanciers dans la zone SEPA. Cf les commentaires précédents qui disent que ca dépend des banques ou de la config de ton compte.
- pas-de-bol: ta banque accepte automatiquement le mandat d'un créancier hors zone SEPA. Dans ce cas, tu n'as que 70 jours pour contester.
Le 28/10/2024 à 09h49
Le 28/10/2024 à 10h10
Après bon, je ne suis plus chez free, mais je pense que vu l'importance de l'opérateur, tout le monde doit connaitre un peu des proches qui sont touchés. Il faut rester vigilant.
Comme quoi, free s'était fait épingler pour stocker en clair les mots de passes des abonnés, et bien c'était pas fini (comme le slogant de SFR à une époque 'et c'est pas fini').
L'attaque est peut être réalisée par un soft chez un sous traitant ou dans une filiale. Si il y a fuite ça ne veut pas dire que ça a été forcément de la compromission pure et dure d'un logiciel. C'est souvent plus simple de passer par le maillon le plus faible de la chaine, vous savez... entre la chaise et le clavier.
Le 28/10/2024 à 10h44
Modifié le 28/10/2024 à 10h16
Soit je ne suis pas du tout concerné pour une raison étrange, ce qui m'étonnerait fortement, soit Free enfreint le RGPD qui prévoit un délai de 72h pour notifier les clients en cas de risque élevé pour eux au regard des données volées, ce qui correspond bien à la situation.
Si c'est bien le cas, je m'empresserais d'ouvrir une plainte supplémentaire à la CNIL.
Modifié le 28/10/2024 à 10h18
Qui plus est, la notification auprès des personnes n'est une obligation que dans le cas où la fuite présente un risque élevé (ce qui n'empêche pas le responsable de traitement de prévenir même si les risques sont faibles ou modérés), et dans les meilleurs délais (mais rien de fixé).
Le 28/10/2024 à 11h08
Par contre, rien reçu pour mon abonnement Freebox ... Bizarre bizarre.
Le 28/10/2024 à 10h25
Là, je ne suis pas concerné (à priori) car je ne suis plus client Free mobile depuis quelques années.
Le 28/10/2024 à 11h12
(Comme pour le Slip Français, France Travail, et bien d´autres.)
Le 28/10/2024 à 11h56
Le 28/10/2024 à 15h04
Ho merci Free de me prévenir que n'étant plus abonné depuis fort longtemps, vous conservez quand même des données
Perso j'ai été client il y a plus de 15 an avec un peu de chance ils on perdu les disquettes ou les bandes 😜
Le 28/10/2024 à 16h10
Et pour le moment, toujours pas de messages.
Modifié le 28/10/2024 à 11h21
ce n'est pas parce qu'on a résilié qu'on est nécessairement effacé de la base de données, vu qu' il est question d'abonnés actifs et inactifs dans le mail cité ici.
Modifié le 08/11/2024 à 11h37
Le 28/10/2024 à 11h29
Le 28/10/2024 à 11h32
Plutôt que soigner la com foireuse de façade, il ferait mieux de faire le ménage dans son arrière boutique car au vu de ce qui en sort c'est forcément pas bien beau à voir. A l'image de ses raccordements fibre par chez moi.
Modifié le 28/10/2024 à 11h48
Le 28/10/2024 à 11h47
Le 28/10/2024 à 14h03
Le 28/10/2024 à 16h26
Car à un moment donné, pour pouvoir faire une action bancaire, Free doit bien avoir accès à l'IBAN "lisible" et les autres données du compte également.
Le seul éléments qui n'est pas stocké en clair est justement le mot de passe car on n'en a pas besoin, seule une version "cryptée" (un hash) est nécessaire. Lors de la connexion, on compare ce hash avec celui issu du mot de passe fourni par la personne qui se connecte.
Le 28/10/2024 à 17h33
Le 28/10/2024 à 18h07
Le mot de passe, s'il est hashé correctement, tu ne peux JAMAIS le déchiffrer, hormis quand ton algo de hash aura été cassé par une faille de sécurité.
Le 28/10/2024 à 23h34
Le 29/10/2024 à 14h27
On dit chiffrer et pas crypter
[Édito] Crypter, chiffrer : le défi de la vulgarisation
Blague à part, chiffrer implique de stocker la clef de déchiffrement. Le serpent qui se mort la queue. La solution est à chercher à plus haut niveau sûrement (système bancaire).
Le 29/10/2024 à 16h18
Le 28/10/2024 à 15h18
Ca serait bien qu'un dev se penche sur le sujet de ce bug énervant....
Le 28/10/2024 à 16h49
Je suis éduqué en ce qui concerne les arnaques, mais certaines boites devraient également l'être, Free en premier lieu.
Modifié le 28/10/2024 à 18h28
Pourquoi ???
Question subsidiaire, qu'ai-je manqué d'autre ?
Le 28/10/2024 à 18h28
Le 28/10/2024 à 19h33
Le 28/10/2024 à 19h38
une amélioration pour @Ferd ?
Modifié le 29/10/2024 à 18h22
Arbitrage réfléchi et assumé ici, sorry guys.
Modifié le 29/10/2024 à 21h55
Ce que j'aime pour choisir les articles que je vais lire, c'est une liste chronologique bien rangée.
La tête de gondole en bout de rayon ne m'intéresse pas.
Une option pour choisir entre les 2 présentations serait pour moi bienvenue (je le dis tout en sachant que ça ne se fera pas).
Au fait, le lendemain, ça se passe comment, l'actu est recalée dans la liste de la veille ?
Le 30/10/2024 à 08h36
Le 30/10/2024 à 18h44
Merci pour cette clarification.
Le 28/10/2024 à 23h07
Le 28/10/2024 à 23h38
Le 29/10/2024 à 09h12
C'est donc moins pire pour les abonnés mobile, mais pas forcément indolore non plus.
Tout cela est magnifreeque.
Le 29/10/2024 à 12h02
Le 29/10/2024 à 12h41
Modifié le 29/10/2024 à 21h54
Modération intéressante, donner un avis contradictoire sans animosité donne lieu à une suppression pure et simple. Je crains de ne pas adhérer à cette méthode et je risque de faire dans 15 jours comme d'autres avant moi.Je suis con, je me suis modéré tout seul sans m'en rendre compte.