Fuite chez Free : la folle histoire des données vendues… ou pas
Une vente quantique
Et si les données personnelles et bancaires des clients de Free récupérées par un pirate n’avaient finalement pas été vendues ? C’est en tout cas ce qu’affirme le pirate qui revendique être à l’origine de la fuite. Pendant ce temps, le message annonçant la vente pour 175 000 dollars a été supprimé. On vous explique la situation.
Le 06 novembre à 17h00
9 min
Sécurité
Sécurité
Il y a deux semaines, l’actualité autour de Free était agitée. Le vendredi 25 octobre, le fournisseur d’accès envoyait ses premiers messages à des clients pour les informer d’une fuite de données. Le lundi 28, rebelote, mais avec une précision supplémentaire pour des clients Freebox : des IBAN en plus des données personnelles. Les risques sont réels et il faut donc penser à surveiller vos comptes si vous êtes touchés.
- Free confirme la fuite des « IBAN de certains abonnés »
- Fuite d’IBAN : quels sont les risques, comment se protéger
Récit d’une fuite de données et d’IBAN
Durant le week-end, un pirate affirmait détenir les données de 19,2 millions de clients Free, dont cinq millions accompagnés des IBAN (pour des abonnés Freebox uniquement). Il mettait aussi en ligne un fichier contenant pas moins de 100 000 lignes, avec des données personnelles de clients, dont les IBAN correspondants évidemment.
Le pirate – sous le pseudo drussellx – mettait l’ensemble des données aux enchères, à 70 000 dollars : « Si l'entreprise ne participe pas à cette unique vente aux enchères dans les prochains jours, cette copie sera vendue, ce qui entraînera de graves conséquences pour les clients, et sera probablement divulguée publiquement sur les forums dans un avenir proche », affirmait-il.
Des enchères et une base de données vendue 175 000 dollars…
Plus tard, le pirate avait mis à jour sa publication pour indiquer que les données avaient été vendues, et que les enchères avaient atteint 175 000 dollars. Il ajoutait avec une pointe d’humour un message à Free : « Free pensait que la base de données était gratuite, ils n’ont rien compris ».
Nous avions alors tenté de contacter drussellx, qui n’avait pas souhaité répondre. Par la suite, il a supprimé sa publication sur la vente des données de Free. Il n’a désormais plus aucun message à son actif.
Cette affaire avait bien inspiré Flock, qui nous avait proposé un dessin sur le sujet. Mais il y a un nouveau rebondissement, comme le rapportent DataBreaches et LeMagIT, et pas des moindres.
Une tentative de SCAM sur des données dérobées ?
Un autre membre du forum (How), avec un compte créé en février 2024, annonçait que drussellx avait été arrêté. Il proposait une nouvelle vente, à 35 000 dollars la copie de la base de données, avec cinq ventes seulement possibles. Il ajoutait qu’une copie a déjà été vendue (175 000 dollars) et qu'il ne restait donc que quatre « chances » d’acheter la base de données volées.
Selon DataBreaches qui rapporte cette affaire, cela ressemble beaucoup à une tentative d’arnaque. Nos confrères ont essayé de contacter How, qui n’a pas répondu… et a effacé son message dans la foulée. Mais le rebondissement est ailleurs : le 3 novembre, un utilisateur sous le pseudo YuroSh contacte nos confrères.
YuroSh entre dans la danse et affirme être le pirate
Il se présente comme le pirate responsable de la fuite de données : « Je crois savoir que cette base de données a été présentée à la télévision française pendant des semaines, et j'aimerais clarifier quelques détails ». Il affirmait aussi être le pirate responsable de la fuite de Free.fr. Pour appuyer ses dires, il envoie à DataBreaches « ce qui semblait être les informations personnelles de Xavier Niel ». Contacté par nos confrères, iliad (maison mère de Free) n’a pas répondu.
Pour confirmer son identité avant d’aller plus loin, DataBreaches a demandé à YuroSh de faire passer un message à drussellx (le pirate qui a publié le message sur le forum, annoncé la vente à 175 000 dollars et supprimé son post) : leur envoyer un message privé (via le forum utilisé pour la mise en vente) pour confirmer l’implication de YuroSh. Un billard à trois bandes, qui a porté ses fruits : « drussellx a alors envoyé à DataBreaches un message privé indiquant que YuroSh était responsable du piratage », expliquent nos confrères.
Les données n’ont pas été « vendues aux enchères, ni vendues du tout »
Voici le « détail » que YuroSh souhaitait préciser : « les données n’ont jamais été vendues aux enchères, ni vendues du tout – et elles ne vont pas l’être ». S’il y a des divergences de motivations entre les deux pirates, « aucun des deux ne voulait vraiment vendre les données des gens ou les divulguer », précise DataBreaches.
drussellx voulait extorquer iliad : il « aurait utilisé l’annonce de la mise aux enchères et la mise à jour "vendu" pour tenter de faire pression sur Free afin qu'il paie ». YuroSh serait de son côté « motivé par l'hacktivisme », c’est d’ailleurs pour cela qu’il a contacté DataBreaches.
« Je ne suis pas un saint, mais… »
Il profite en effet de l'occasion pour envoyer un long message à nos confrères. Rappelant en introduction les grosses fuites récentes, il explique que « chaque citoyen français a probablement fait l’objet d’une fuite au moins une fois ». Le message hacktiviste suit : « Je ne suis pas un saint, mais j’espère que l’incident Free.fr réveillera enfin les Français à la réalité de la surveillance de masse et qu’ils se battront contre elle ».
Depuis la rentrée, il y a eu des fuites chez Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe), l’Assurance retraite, RED by SFR, Meilleurtaux et Ornikar, en plus de Free évidemment.
« Je déteste la surveillance et je pense que la seule façon de les réveiller est de les pirater. Sinon, les choses ne changent pas », ajoute-t-il en conclusion. Nous approuvons cependant la conclusion de DataBreaches : on « ne voit pas en quoi cet incident aurait un impact sur la surveillance ».
Free aurait été alerté à plusieurs reprises
YuroSh affirme avoir déjà envoyé des alertes de sécurité à Free (gratuitement), mais qu’elles ont « été ignorées ». Il précise à nos confrères que c’était après novembre 2022, date de la condamnation de Free par la CNIL pour plusieurs manquements.
De son côté, iliad n’a visiblement pas souhaité répondre à nos confrères sur les affirmations de YuroSh. Concernant les données de Free, YuroSh ne sait pas encore s’il va les conserver ou les détruire. Sur ce point, nous sommes bien forcés de le croire sur parole… du moins avant qu’un autre pirate n'entre en piste ? On n’est plus à un rebondissement près !
Des messages de prévention à la CNIL et chez Cybermalveillance
En France, l’annonce de la fuite des données et des IBAN de Free a provoqué de vives réactions, y compris à la CNIL et chez Cybermalveillance. Ce dernier a publié un billet de blog le 31 octobre pour faire le point sur la situation, les risques et ce qu'il conviendrait de faire.
En plus des recommandations de prudence d’usage, Cybermalveillance rappelle que vous pouvez « déposer plainte en cas d’utilisation frauduleuse de vos données personnelles divulguées », que ce soit au commissariat de police, à la brigade de gendarmerie ou par écrit à la Brigade de Lutte Contre la Cybercriminalité de la Préfecture de Police de Paris (36, rue du Bastion – 75017 Paris). Cette dernière a ouvert une enquête sur cette affaire.
Vous pouvez aussi « déposer plainte auprès de la CNIL si vous estimez que vos données personnelles n’ont pas été suffisamment protégées » et « engager au besoin une action de groupe ou un recours collectif ».
La CNIL avait communiqué la veille, le 30 octobre. La Commission expliquait que « vous pouvez porter plainte de deux manières : Auprès de la CNIL si vous estimez que vos données personnelles n’ont pas été suffisamment sécurisées. Auprès de la police ou de la gendarmerie si vous êtes victime d’une usurpation d’identité, d’une arnaque ou de paiements frauduleux ».
Cachez ce formulaire en ligne que je ne saurais voir
RTL rappelle que la CNIL annonçait une autre possibilité il y a quelques jours encore : « vous avez la possibilité de porter plainte via un formulaire en ligne sans vous déplacer en commissariat ou en brigade de gendarmerie. Ce formulaire sera prochainement disponible depuis le site cybermalveillance.gouv.fr ». Mais nos confrères précisent que « la mention du formulaire en ligne […] a finalement disparu, sans qu’aucun formulaire ne soit mis en ligne ».
RTL et 01Net ont contacté la CNIL, la préfecture de police et le parquet sans réponse. Seul Cybermalveillance a confirmé que le formulaire « n’était plus d’actualité depuis la semaine dernière », sans plus de détails sur les raisons de ce retrait.
Un tel formulaire avait été mis en ligne suite à la fuite de France Travail sur 43 millions de personnes. Même chose avec les violations de données du tiers payant chez Viamedis et Almerys. Il avait « remporté un petit succès », souffle-t-on à nos confrères.
Fuite chez Free : la folle histoire des données vendues… ou pas
-
Récit d’une fuite de données et d’IBAN
-
Des enchères et une base de données vendue 175 000 dollars…
-
Une tentative de SCAM sur des données dérobées ?
-
YuroSh entre dans la danse et affirme être le pirate
-
Les données n’ont pas été « vendues aux enchères, ni vendues du tout »
-
« Je ne suis pas un saint, mais… »
-
Free aurait été alerté à plusieurs reprises
-
Des messages de prévention à la CNIL et chez Cybermalveillance
-
Cachez ce formulaire en ligne que je ne saurais voir
Commentaires (23)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 06/11/2024 à 17h41
il me semblerais sain que les société en cause envoie un mail avec le liens ce serait un minimum
Le 07/11/2024 à 03h14
Le 06/11/2024 à 17h57
Je ne connaissais pas cet espèce: le hacktiviste Franchouillard qui ne sait pas vendre.
Le sous-titre
Le 06/11/2024 à 20h49
Modifié le 06/11/2024 à 20h55
La CNIL ne s'occupe déjà pas des dossiers en cours. Je la vois mal traiter avec célérité des dizaines (centaines ?) de milliers de nouveaux dossiers.
De plus, la procédure est de la saisir après avoir saisi le responsable des données personnelles (ici Free), et que ce contact n'a rien donné. 30 jours après, on peut saisir la CNIL.
Mais que faut-il demander exactement ?
De nous fournir la liste des données que Free a en sa possession ? De nous indiquer la façon dont les données sont sécurisées, car c'est évidemment "leur priorité", comme tous les services qui ne les sécurisent pas assez ?
Demander de déposer plainte auprès de la CNIL, c'est de la luthomiction.
Sinon, j'hésite quand même à déposer plainte (au commissariat).
J'ai payé pendant des années des frais de rejet de prélèvement, car Free présentait tous les mois un prélèlvement à ma banque, qui n'ayant pas mon autorisation le rejetait. Moi je veux juste payer par CB, mais Free impose un dépôt de garantie de 400 euros. À ma connaissance c'est le seul FAI à faire ça, les autres autorisent la CB sans surcoût. Mais je peux pas me permettre d'avoir 400 euros dehors pendant x mois, juste parce que Free n'a pas confiance. Mais à force d'avoir ces frais, j'ai craqué et accepté le prélèvement. Je considère que c'est un peu forcé, car les contraintes sur les différents modes de paiement ne sont pas les mêmes. Le choix n'est pas libre.
Modifié le 07/11/2024 à 07h39
Ce point me semble concerner une relation contractuelle que tu as accepté. À moins de pouvoir démontrer qu'il s'agit d'un mécanisme illégal, je ne vois pas trop ce que y gagnerais à porter plainte pour ça.
Le 07/11/2024 à 21h06
Tu considères donc que puisqu'il y a contrat, une partie ne peut pas abuser de sa position ? Et évidemment je ne parle pas du con-sommateur... C'est pourtant une règle de base : tu n'as pas le droit de tenter un prélèvement si tu n'as pas reçu de mandat. Et tu n'as pas le droit de faire payer des frais si ce prélèvement a été (logiquement) rejeté.
Je t'invite à tenter l'expérience, et à venir nous raconter comment ça s'est fini. Spoiler : l'assistance ne t'assistera pas, et on te coupera le service malgré tes tentatives de contact et conciliation.
Mais tu auras peut-être plus de chance que moi, je suis preneur de tes conseils.
Le 07/11/2024 à 22h03
Je réagissais sur le fait que tu disais hésiter à déposer plainte en commissariat, suivi de la précision indiquant que Free serait le seul à appliquer des frais en plus pour le paiement CB.
Si cette pratique n'est pas illégale, les chances qu'une annulation de la clause dans le contrat sont faibles. Voilà ce que je voulais dire.
Qui appliquait les frais de rejet de prélèvement ? Free ou la banque ?
Si c'est Free qui majorait avec des pénalités sur le montant de l'abonnement en raison de ces impayés alors que tu n'avais pas signé de mandat de prélèvement et encore moins choisi ce moyen, là il est effectivement possible que ça joue en ta faveur puisqu'ils ne respectent pas leur part du contrat.
Et pas besoin d'être sur la défense, on peut encore dialoguer sans se sauter à la gorge. Merci.
Modifié le 08/11/2024 à 10h21
Le 07/11/2024 à 20h31
Le 06/11/2024 à 20h57
Sachant que je suis client freebox et Free mobile.
Le 06/11/2024 à 21h17
Le 06/11/2024 à 23h12
Le 07/11/2024 à 11h57
Le 07/11/2024 à 12h11
Le 07/11/2024 à 22h51
Le 07/11/2024 à 21h07
Mais vu que cela concerne des millions de personnes, c'est peut-être étalé dans le temps.
Le 06/11/2024 à 21h57
Le 06/11/2024 à 22h23
Le 06/11/2024 à 22h52
Le 07/11/2024 à 08h38
On glisse des adresses électroniques créées spécialement pour cette "copie" de la base client.
Puis si un jour on reçoit un message sur cette BAL on sait d'où vient la fuite.
Il me semble qu'au niveau perso il y a aussi des gens qui crée des adresses uniquement pour tel ou tel service. Au final ce que propose aussi certains SSO.
Modifié le 07/11/2024 à 12h19
J'utilise les alias hotmail/outlook (jusqu'à 10 je crois). Par contre j'autorise la connexion a mon compte qu'avec un alias, que j'utilise exclusivement à cette fin (je n'envois jamais avec cette adresse et ne la renseigne null part).
Et suite à la limitation à 10 @mail outlook, j'ai pris l'abonnement Firefox Relay.
Deux mode de fonctionnement :
- génération aléatoire d'une adresse en "xxxxxx.mozmail.com", sa impose de générer l'adresse avant son utilisation
- Génération à la volée d'@mail en [cequetuveux]@[ton sous domaine].mozmail.com
avec l'abonnement tu as le droit à une sous domaine de mail, exemple "toto". Et du coup sans avoir a généré une adresse préalablement, tu file [email protected]
Dans les deux cas, les adresses sont routé à ton @mail associé à ton compte mozilla.
Tu peux bloquer les @mail qu'elle soit @mozmail.com ou @toto.mozmail.com, mais je pense que rapidement, je me ferais spammer sur les @toto.mozmail.com, puisque je peux bloquer [email protected], si le méchant se dit "ballec et prend ça sur [email protected]" sa arrivera sur ma bal.
Il faudra que je le bloque test2, et le gus d'en face m'enverra les suivants sur [email protected] et ce sera sans fin...
Je n'y ai pas été confronté, mais je ne crois pas avoir vu de protection contre ça...
Surtout que leur intéret est justement de ne pas avoir à être pré générée pour fonctionner : on te prend au dépourvu avec un "donnez moi votre mail", tu peux répondre au tac au tac : [email protected]
Modifié le 07/11/2024 à 13h24
Ca marche aussi à la main : [email protected]
Cela permet de savoir aussi d'où peuvent venir les spams, car si tu reçois un mail publicitaire / newsletter adressé à +freemobile, tu sais que freemobile revend/cède/sefaitvoler tes données.
Le site peut également nettoyer les mails en supprimant le texte après + dans sa base de données...