Le piratage de Free n’en finit pas de revenir sur le tapis. On commence par un rapide résumé des saisons précédentes pour ceux qui auraient loupé le début de la série.

Fin octobre, Free annonce la fuite de données personnelles de ses clients. Les abonnés mobiles et fixes concernés ont reçu un e-mail. Pour certains clients Freebox, l’IBAN était aussi dans la nature. Une donnée bancaire sensible, qui nécessite de surveiller votre compte pour détecter au plus vite une transaction frauduleuse.

• Fuite d’IBAN : quels sont les risques, comment se protéger

C’était la première saison, avec un mystère qui restait entier pour la suite : le pirate annonçait la mise en vente des données personnelles et bancaires sur un forum spécialisé. Quelques jours plus tard, une mise à jour de cette même publication indiquait qu’une vente avait été conclue, pour 175 000 dollars.

Piratage de Free : imbroglio chez les pirates

La saison 2 débute avec des révélations de celui qui se présente comme étant le pirate à l’origine de la fuite. Il affirme que les données n’auraient pas été vendues et qu’elles ne le seraient pas à l’avenir. Il prétend qu’il s’agissait de mettre la pression sur Free pour tenter de lui extorquer de l’argent.

• Fuite chez Free : la folle histoire des données vendues… ou pas

La saison 3 commence par un contrôle de la CNIL chez Free (dont les conclusions ne sont pas encore connues) et par l’entrée d’un nouveau « joueur » dans la partie. Il affirme que les données auraient bien été vendues, mais pas pour 175 000 dollars. La véracité des allégations n’a pas pu être confirmée pour le moment.

• Fuite de données chez Free : contrôle de la CNIL, un pirate remet une pièce dans le jukebox

Demande de rançon : un pirate envoie quatre messages à Free

Alors que l’intrigue commençait à « s’essouffler » un peu, le Tribunal Judiciaire de Paris relance la machine, comme le rapporte sur X l’avocat spécialisé du numérique Alexandre Archambault : « Piratage de la base de données #Free & #FreeMobile : l'opérateur obtient la condamnation de #Telegram à communiquer les données d'identification du vendeur de la base ».

Dans une décision du 12 novembre du Tribunal Judiciaire de Paris, publiée par la Cour de cassation, le déroulement des faits donne de nouvelles précisions. On y apprend notamment que le pirate informatique qui « est parvenu à détourner des données personnelles et bancaires d’abonnés de Free et de Free mobile […] a essayé d’obtenir le paiement d’une rançon par l’envoi de quatre messages sous le nom de [Z] [L], trois sur la plateforme délégué à la protection des données personnelles (DOP) et un adressé à M. [J] par l’intermédiaire de la messagerie électronique Telegram ».

Les messages envoyés par email à Free n’ont « pas laissé de traces informatiques ». L’identité de monsieur [J] et de la personne [Z] [L] ne sont pas précisées… mais comme la décision parle du « président du groupe Iliad » pour monsieur [J] cela renvoie très certainement à Xavier Niel. La pseudonymisation des documents n’est pas encore à son parfait état de l’art…

• Comment la Cour de cassation a créé son outil de pseudonymisation utilisant le machine learning

Un peu plus tard, dans sa décision, le Tribunal Judiciaire de Paris ajoute que « le président du groupe Iliad, M. [J], a reçu un message d’un certain "[Z] [L]" par l’intermédiaire de la messagerie électronique Telegram dans lequel il "laisse la possibilité à free d’acheter sa propre base" ».

Le pirate demandait 10 millions d’euros

La société s’intéresse donc à cette seconde piste et demande d’« ordonner à la société Telegram messenger inc de leur communiquer tous les éléments permettant d’identifier la personne (ou les personnes) : Qui a créé le compte de la messagerie qui a permis d’envoyer le message litigieux à M. [J] ».

Cela concerne le numéro de téléphone, la ou les adresses IP (avec les ports-source) recueillies lors de la création du compte Telegram et de l’envoi du message et finalement « toutes informations utiles à l’identification de la personne recherchée ».

Sur les trois messages envoyés à la plateforme dédiée aux données personnelles, le Tribunal Judiciaire de Paris explique qu’ils sont identiques et datent du 21 octobre 2024. Le pirate « menace d’utiliser frauduleusement les données piratées si une somme de 10 millions d’euros ne lui est pas payée en cryptomonnaie ».

Free demande l’identification du compte Telegram…

Dans sa requête, Free et Free Mobile rappellent que Telegram « a modifié ses règles de collaboration avec les autorités judiciaires et a décidé de répondre aux requêtes qui lui sont adressées pour communiquer les numéros de téléphone portable et les adresses IP qui sont en sa possession ».

• Telegram fait volte-face et commence à coopérer avec les autorités

La société Telegram, dont le siège social est aux Iles vierges britanniques, a été assignée le 31 octobre 2024. « Dès lors qu’elle n’a pas constitué avocat, il sera statué par décision réputée contradictoire », indique le document.

Lorsque le défendeur ne comparaît pas, « il est statué sur fond et le juge ne fait droit à la demande que dans la mesure où il l’estime régulière, recevable et bien fondée ». La justice vérifie alors que ce triptyque est bien respecté avant de se prononcer.

… et obtient l’aval du Tribunal Judiciaire de Paris

C’est le cas, la décision est donc d’ordonner « à la société Telegram messenger inc de communiquer aux sociétés Free et Free mobile, pour les besoins des poursuites pénales, dans un délai de 48 heures à compter de la signification de la présente ordonnance, toutes les données d’identification de la personne qui a créé le compte de la messagerie ».