Connexion
Abonnez-vous

Fuite chez Free : la folle histoire des données vendues… ou pas

Une vente quantique

Fuite chez Free : la folle histoire des données vendues… ou pas

Et si les données personnelles et bancaires des clients de Free récupérées par un pirate n’avaient finalement pas été vendues ? C’est en tout cas ce qu’affirme le pirate qui revendique être à l’origine de la fuite. Pendant ce temps, le message annonçant la vente pour 175 000 dollars a été supprimé. On vous explique la situation.

Le 06 novembre à 17h00

Il y a deux semaines, l’actualité autour de Free était agitée. Le vendredi 25 octobre, le fournisseur d’accès envoyait ses premiers messages à des clients pour les informer d’une fuite de données. Le lundi 28, rebelote, mais avec une précision supplémentaire pour des clients Freebox : des IBAN en plus des données personnelles. Les risques sont réels et il faut donc penser à surveiller vos comptes si vous êtes touchés.

Récit d’une fuite de données et d’IBAN

Durant le week-end, un pirate affirmait détenir les données de 19,2 millions de clients Free, dont cinq millions accompagnés des IBAN (pour des abonnés Freebox uniquement). Il mettait aussi en ligne un fichier contenant pas moins de 100 000 lignes, avec des données personnelles de clients, dont les IBAN correspondants évidemment.

Le pirate – sous le pseudo drussellx – mettait l’ensemble des données aux enchères, à 70 000 dollars : « Si l'entreprise ne participe pas à cette unique vente aux enchères dans les prochains jours, cette copie sera vendue, ce qui entraînera de graves conséquences pour les clients, et sera probablement divulguée publiquement sur les forums dans un avenir proche », affirmait-il.

Des enchères et une base de données vendue 175 000 dollars…

Plus tard, le pirate avait mis à jour sa publication pour indiquer que les données avaient été vendues, et que les enchères avaient atteint 175 000 dollars. Il ajoutait avec une pointe d’humour un message à Free : « Free pensait que la base de données était gratuite, ils n’ont rien compris ».

Nous avions alors tenté de contacter drussellx, qui n’avait pas souhaité répondre. Par la suite, il a supprimé sa publication sur la vente des données de Free. Il n’a désormais plus aucun message à son actif.

Cette affaire avait bien inspiré Flock, qui nous avait proposé un dessin sur le sujet. Mais il y a un nouveau rebondissement, comme le rapportent DataBreaches et LeMagIT, et pas des moindres.

Une tentative de SCAM sur des données dérobées  ?

Un autre membre du forum (How), avec un compte créé en février 2024, annonçait que drussellx avait été arrêté. Il proposait une nouvelle vente, à 35 000 dollars la copie de la base de données, avec cinq ventes seulement possibles. Il ajoutait qu’une copie a déjà été vendue (175 000 dollars) et qu'il ne restait donc que quatre « chances » d’acheter la base de données volées.

Selon DataBreaches qui rapporte cette affaire, cela ressemble beaucoup à une tentative d’arnaque. Nos confrères ont essayé de contacter How, qui n’a pas répondu… et a effacé son message dans la foulée. Mais le rebondissement est ailleurs : le 3 novembre, un utilisateur sous le pseudo YuroSh contacte nos confrères.

YuroSh entre dans la danse et affirme être le pirate

Il se présente comme le pirate responsable de la fuite de données : « Je crois savoir que cette base de données a été présentée à la télévision française pendant des semaines, et j'aimerais clarifier quelques détails ». Il affirmait aussi être le pirate responsable de la fuite de Free.fr. Pour appuyer ses dires, il envoie à DataBreaches « ce qui semblait être les informations personnelles de Xavier Niel ». Contacté par nos confrères, iliad (maison mère de Free) n’a pas répondu.

Pour confirmer son identité avant d’aller plus loin, DataBreaches a demandé à YuroSh de faire passer un message à drussellx (le pirate qui a publié le message sur le forum, annoncé la vente à 175 000 dollars et supprimé son post) : leur envoyer un message privé (via le forum utilisé pour la mise en vente) pour confirmer l’implication de YuroSh. Un billard à trois bandes, qui a porté ses fruits : « drussellx a alors envoyé à DataBreaches un message privé indiquant que YuroSh était responsable du piratage », expliquent nos confrères.

Les données n’ont pas été « vendues aux enchères, ni vendues du tout »

Voici le « détail » que YuroSh souhaitait préciser : « les données n’ont jamais été vendues aux enchères, ni vendues du tout – et elles ne vont pas l’être ». S’il y a des divergences de motivations entre les deux pirates, « aucun des deux ne voulait vraiment vendre les données des gens ou les divulguer », précise DataBreaches.

drussellx voulait extorquer iliad : il « aurait utilisé l’annonce de la mise aux enchères et la mise à jour "vendu" pour tenter de faire pression sur Free afin qu'il paie ». YuroSh serait de son côté « motivé par l'hacktivisme », c’est d’ailleurs pour cela qu’il a contacté DataBreaches.

« Je ne suis pas un saint, mais… »

Il profite en effet de l'occasion pour envoyer un long message à nos confrères. Rappelant en introduction les grosses fuites récentes, il explique que « chaque citoyen français a probablement fait l’objet d’une fuite au moins une fois ». Le message hacktiviste suit : « Je ne suis pas un saint, mais j’espère que l’incident Free.fr réveillera enfin les Français à la réalité de la surveillance de masse et qu’ils se battront contre elle ».

Depuis la rentrée, il y a eu des fuites chez BoulangerCulturaDiviaMobilitésTruffautCybertek et Grosbill (qui font partie du même groupe), l’Assurance retraiteRED by SFR, Meilleurtaux et Ornikar, en plus de Free évidemment.

« Je déteste la surveillance et je pense que la seule façon de les réveiller est de les pirater. Sinon, les choses ne changent pas », ajoute-t-il en conclusion. Nous approuvons cependant la conclusion de DataBreaches : on « ne voit pas en quoi cet incident aurait un impact sur la surveillance ».

Free aurait été alerté à plusieurs reprises

YuroSh affirme avoir déjà envoyé des alertes de sécurité à Free (gratuitement), mais qu’elles ont « été ignorées ». Il précise à nos confrères que c’était après novembre 2022, date de la condamnation de Free par la CNIL pour plusieurs manquements.

De son côté, iliad n’a visiblement pas souhaité répondre à nos confrères sur les affirmations de YuroSh. Concernant les données de Free, YuroSh ne sait pas encore s’il va les conserver ou les détruire. Sur ce point, nous sommes bien forcés de le croire sur parole… du moins avant qu’un autre pirate n'entre en piste ? On n’est plus à un rebondissement près !

Des messages de prévention à la CNIL et chez Cybermalveillance

En France, l’annonce de la fuite des données et des IBAN de Free a provoqué de vives réactions, y compris à la CNIL et chez Cybermalveillance. Ce dernier a publié un billet de blog le 31 octobre pour faire le point sur la situation, les risques et ce qu'il conviendrait de faire.

En plus des recommandations de prudence d’usage, Cybermalveillance rappelle que vous pouvez « déposer plainte en cas d’utilisation frauduleuse de vos données personnelles divulguées », que ce soit au commissariat de police, à la brigade de gendarmerie ou par écrit à la Brigade de Lutte Contre la Cybercriminalité de la Préfecture de Police de Paris (36, rue du Bastion – 75017 Paris). Cette dernière a ouvert une enquête sur cette affaire.

Vous pouvez aussi « déposer plainte auprès de la CNIL si vous estimez que vos données personnelles n’ont pas été suffisamment protégées » et « engager au besoin une action de groupe ou un recours collectif ».

La CNIL avait communiqué la veille, le 30 octobre. La Commission expliquait que « vous pouvez porter plainte de deux manières : Auprès de la CNIL si vous estimez que vos données personnelles n’ont pas été suffisamment sécurisées. Auprès de la police ou de la gendarmerie si vous êtes victime d’une usurpation d’identité, d’une arnaque ou de paiements frauduleux ».

Cachez ce formulaire en ligne que je ne saurais voir

RTL rappelle que la CNIL annonçait une autre possibilité il y a quelques jours encore : « vous avez la possibilité de porter plainte via un formulaire en ligne sans vous déplacer en commissariat ou en brigade de gendarmerie. Ce formulaire sera prochainement disponible depuis le site cybermalveillance.gouv.fr ». Mais nos confrères précisent que « la mention du formulaire en ligne […] a finalement disparu, sans qu’aucun formulaire ne soit mis en ligne ».

RTL et 01Net ont contacté la CNIL, la préfecture de police et le parquet sans réponse. Seul Cybermalveillance a confirmé que le formulaire « n’était plus d’actualité depuis la semaine dernière », sans plus de détails sur les raisons de ce retrait.

Un tel formulaire avait été mis en ligne suite à la fuite de France Travail sur 43 millions de personnes. Même chose avec les violations de données du tiers payant chez Viamedis et Almerys. Il avait « remporté un petit succès », souffle-t-on à nos confrères.

Commentaires (23)

votre avatar
Je n'avais pas su pour les formulaire pour la plainte contre France travail et les deux assureur tiers payant. Sinon je l'aurais remplie.

il me semblerais sain que les société en cause envoie un mail avec le liens ce serait un minimum :censored:
votre avatar
Je pense que le formulaire est pour porter plainte pour usurpation ou autre, pas pour le manque de protection des données.
votre avatar
Instructif.
Je ne connaissais pas cet espèce: le hacktiviste Franchouillard qui ne sait pas vendre.
Le sous-titre :bravo:
votre avatar
Les mecs ont réalisé qu'ils étaient chez free et que s'ils changeaient ou supprimaient leurs données, ça pourrait se voir si free rachete la base. Maintenant les regrets :D
votre avatar
Vous pouvez aussi « déposer plainte auprès de la CNIL si vous estimez que vos données personnelles n’ont pas été suffisamment protégées » et « engager au besoin une action de groupe ou un recours collectif ».
Mais... Pourquoi faire ?

La CNIL ne s'occupe déjà pas des dossiers en cours. Je la vois mal traiter avec célérité des dizaines (centaines ?) de milliers de nouveaux dossiers.
De plus, la procédure est de la saisir après avoir saisi le responsable des données personnelles (ici Free), et que ce contact n'a rien donné. 30 jours après, on peut saisir la CNIL.
Mais que faut-il demander exactement ?
De nous fournir la liste des données que Free a en sa possession ? De nous indiquer la façon dont les données sont sécurisées, car c'est évidemment "leur priorité", comme tous les services qui ne les sécurisent pas assez ?

Demander de déposer plainte auprès de la CNIL, c'est de la luthomiction.

Sinon, j'hésite quand même à déposer plainte (au commissariat).
J'ai payé pendant des années des frais de rejet de prélèvement, car Free présentait tous les mois un prélèlvement à ma banque, qui n'ayant pas mon autorisation le rejetait. Moi je veux juste payer par CB, mais Free impose un dépôt de garantie de 400 euros. À ma connaissance c'est le seul FAI à faire ça, les autres autorisent la CB sans surcoût. Mais je peux pas me permettre d'avoir 400 euros dehors pendant x mois, juste parce que Free n'a pas confiance. Mais à force d'avoir ces frais, j'ai craqué et accepté le prélèvement. Je considère que c'est un peu forcé, car les contraintes sur les différents modes de paiement ne sont pas les mêmes. Le choix n'est pas libre.
votre avatar
Pour le dernier point, une simple question : pourquoi rester chez eux si toutes ces contraintes et ce forcing ne te conviennent pas ?

Ce point me semble concerner une relation contractuelle que tu as accepté. À moins de pouvoir démontrer qu'il s'agit d'un mécanisme illégal, je ne vois pas trop ce que y gagnerais à porter plainte pour ça.
votre avatar
J'en suis parti. Mais c'est la même chose ailleurs.

Tu considères donc que puisqu'il y a contrat, une partie ne peut pas abuser de sa position ? Et évidemment je ne parle pas du con-sommateur... C'est pourtant une règle de base : tu n'as pas le droit de tenter un prélèvement si tu n'as pas reçu de mandat. Et tu n'as pas le droit de faire payer des frais si ce prélèvement a été (logiquement) rejeté.

Je t'invite à tenter l'expérience, et à venir nous raconter comment ça s'est fini. Spoiler : l'assistance ne t'assistera pas, et on te coupera le service malgré tes tentatives de contact et conciliation.
Mais tu auras peut-être plus de chance que moi, je suis preneur de tes conseils.
votre avatar
Je ne considère rien du tout, inutile de me prêter des propos qui ne sont pas les miens et de partir dans je ne sais quel délire.

Je réagissais sur le fait que tu disais hésiter à déposer plainte en commissariat, suivi de la précision indiquant que Free serait le seul à appliquer des frais en plus pour le paiement CB.

Si cette pratique n'est pas illégale, les chances qu'une annulation de la clause dans le contrat sont faibles. Voilà ce que je voulais dire.

Qui appliquait les frais de rejet de prélèvement ? Free ou la banque ?

Si c'est Free qui majorait avec des pénalités sur le montant de l'abonnement en raison de ces impayés alors que tu n'avais pas signé de mandat de prélèvement et encore moins choisi ce moyen, là il est effectivement possible que ça joue en ta faveur puisqu'ils ne respectent pas leur part du contrat.

Et pas besoin d'être sur la défense, on peut encore dialoguer sans se sauter à la gorge. Merci.
votre avatar
Je n'ai sauté à la gorge de personne. J'ai répondu à tes questions, et j'en ai posé une autre (que tu prends pour un "délire" et une affirmation de ma part... en étant sur la défensive).
votre avatar
Luthomiction; je ne connaissais pas
votre avatar
Est-ce que Free a prévenu personnellement chaque clients piratés ?
Sachant que je suis client freebox et Free mobile.
votre avatar
Il y a eu des campagnes de courriel, non ?
votre avatar
oui, j'ai bien reçu mes 2 mails free et free mobile là-dessus...
votre avatar
J'ai recu que pour un des deux, et sans avoir l'information RIB de mon coté
votre avatar
pour moi, l'info RIB n'était présente que sur le mail free mobile, pas sur free ligne fixe
votre avatar
De mon côté, c'est l'inverse.
votre avatar
Je l'ai reçu, plusieurs après l'annonce dans la presse.
Mais vu que cela concerne des millions de personnes, c'est peut-être étalé dans le temps.
votre avatar
J'ajoute Alice Delice à la liste de septembre/octobre.
votre avatar
Super article qui fait sourire et inquiète aussi, tant sur la sécurité que la mauvaise communication des médias qui font juste la course à l'info sans qualité
votre avatar
Décidément, même les vraies news intègrent désormais des parts de Fake news 😅
votre avatar
D'où toujours "noyauter" sa propre base client. (et surtout valable quand on passe par des intermédiaires)
On glisse des adresses électroniques créées spécialement pour cette "copie" de la base client.

Puis si un jour on reçoit un message sur cette BAL on sait d'où vient la fuite.


Il me semble qu'au niveau perso il y a aussi des gens qui crée des adresses uniquement pour tel ou tel service. Au final ce que propose aussi certains SSO.
votre avatar
c'est mon cas :
J'utilise les alias hotmail/outlook (jusqu'à 10 je crois). Par contre j'autorise la connexion a mon compte qu'avec un alias, que j'utilise exclusivement à cette fin (je n'envois jamais avec cette adresse et ne la renseigne null part).

Et suite à la limitation à 10 @mail outlook, j'ai pris l'abonnement Firefox Relay.
Deux mode de fonctionnement :
- génération aléatoire d'une adresse en "xxxxxx.mozmail.com", sa impose de générer l'adresse avant son utilisation
- Génération à la volée d'@mail en [cequetuveux]@[ton sous domaine].mozmail.com
avec l'abonnement tu as le droit à une sous domaine de mail, exemple "toto". Et du coup sans avoir a généré une adresse préalablement, tu file [email protected]

Dans les deux cas, les adresses sont routé à ton @mail associé à ton compte mozilla.

Tu peux bloquer les @mail qu'elle soit @mozmail.com ou @toto.mozmail.com, mais je pense que rapidement, je me ferais spammer sur les @toto.mozmail.com, puisque je peux bloquer [email protected], si le méchant se dit "ballec et prend ça sur [email protected]" sa arrivera sur ma bal.
Il faudra que je le bloque test2, et le gus d'en face m'enverra les suivants sur [email protected] et ce sera sans fin...
Je n'y ai pas été confronté, mais je ne crois pas avoir vu de protection contre ça...
Surtout que leur intéret est justement de ne pas avoir à être pré générée pour fonctionner : on te prend au dépourvu avec un "donnez moi votre mail", tu peux répondre au tac au tac : [email protected]
votre avatar
Tu peux aussi ajouter un texte dans le mail que tu indiques. Bitwarden le propose à la création d'un identifiant.
Ca marche aussi à la main : [email protected]
Cela permet de savoir aussi d'où peuvent venir les spams, car si tu reçois un mail publicitaire / newsletter adressé à +freemobile, tu sais que freemobile revend/cède/sefaitvoler tes données.

Le site peut également nettoyer les mails en supprimant le texte après + dans sa base de données...

Fuite chez Free : la folle histoire des données vendues… ou pas

  • Récit d’une fuite de données et d’IBAN

  • Des enchères et une base de données vendue 175 000 dollars…

  • Une tentative de SCAM sur des données dérobées  ?

  • YuroSh entre dans la danse et affirme être le pirate

  • Les données n’ont pas été « vendues aux enchères, ni vendues du tout »

  • « Je ne suis pas un saint, mais… »

  • Free aurait été alerté à plusieurs reprises

  • Des messages de prévention à la CNIL et chez Cybermalveillance

  • Cachez ce formulaire en ligne que je ne saurais voir

Fermer