Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Free confirme la fuite des « IBAN de certains abonnés »

Il a Free, tout est parti

Free confirme la fuite des « IBAN de certains abonnés »

Ce week-end a été assez agité chez Free. L’opérateur a prévenu ses clients d’une fuite de données personnelles. Le pirate publiait de son côté 100 000 lignes de données, avec des IBAN, comme un pied de nez à Free qui ne parlait pas des données bancaires. L’opérateur nous confirme aujourd’hui que certains IBAN des clients Freebox sont bien dans la nature.

Le 28 octobre à 09h32

À partir de vendredi soir et durant le week-end, Free a envoyé des emails à ses clients (fixe et mobile) pour les informer d’une fuite de données personnelles suite à une « cyberattaque ciblant un outil de gestion ».

Le pirate publie un fichier avec 100 000 lignes

« Nom, prénom, adresses email et postale, date et lieu de naissance, numéro de téléphone, identifiant abonné et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non) » ont été récupérés par le ou les pirates. « Aucun de vos mots de passe n’est concerné », encore heureux…

L’opérateur ne parlait alors pas d’une fuite de données bancaires, alors que le pirate revendiquait avoir en sa possession cinq millions d’IBAN. Ce week-end, après les premiers emails de Free, le pirate a mis en ligne à qui veut le télécharger un fichier texte avec « plus de 100 000 lignes d'IBAN français de clients Free ».

Mises aux enchères des données, à 70 000 dollars

« Une copie des données est sur le point d'être vendue plus de 70 000 dollars. Si l'entreprise ne participe pas à cette unique vente aux enchères dans les prochains jours, cette copie sera vendue, ce qui entraînera de graves conséquences pour les clients, et sera probablement divulguée publiquement sur les forums dans un avenir proche », ajoute le pirate.

Free confirme la fuite d’IBAN et prévient ses clients

On y retrouve bien les données listées par Free, mais aussi des IBAN. Contacté, Free nous confirme que « les IBAN de certains abonnés ont été concernés et ces derniers ont été informés par mail ». Cela ne concerne que des clients Freebox (sur le fixe donc). L’opérateur ne donne pas de chiffres sur l’étendue des dégâts, impossible donc de confirmer les 19 millions de clients concernés et les 5 millions d’emails annoncés par le pirate.

Effectivement, dans un email reçu ce matin pour une de nos lignes (avec une Freebox), le message n’est plus tout à fait le même :

« Nous vous écrivons afin de vous informer que Free a été victime d’une cyberattaque ciblant un outil de gestion.
Cette attaque a entrainé un accès non autorisé à une partie des données personnelles associées à votre compte abonné : nom, prénom, adresses email et postale, numéro de téléphone, identifiant abonné, IBAN et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non) ».

Commentaires (73)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
70k€ c'est pas grand chose pour free :keskidit:
votre avatar
Il n'y a aucune garantie que le pirate ne diffuse pas les données même après paiement, ou ne demande pas une rallonge plus tard
votre avatar
Merci de ne pas payer les cyber-terroristes.
Si c'est rentable, pourquoi s'arrêter.
votre avatar
70 000 $, ce n'est pas le prix de vente. Ce n'est que le prix de départ des enchères...
votre avatar
ce n'est pas ce qu'a dit univers freebox: les enchères étaient à 10K, mais il est passé à prix fixe à 70K
votre avatar
Merci pour l'info. Un petit rectificatif de l'article s'impose alors.
votre avatar
votre avatar
Beaucoup de sites indiquent qu'il n'est pas possible de prélever avec juste un IBAN, il faut aussi un mandat SEPA, et qu'on dispose de 13 mois pour contester un prélèvement frauduleux.
Est ce qu'un petit article / paragraphe sur les risques encouru est possible ?
Y a t il un moyen de s'en protéger ?
votre avatar
Comme la signature sur un chèque. Les banques s'y pencheront s'il y a une réclamation…
votre avatar
Hello, lien ajouté dans l'article : next.ink Next
votre avatar
Merci pas eu le temps de le préciser en commentaire, t’es trop rapide :D
votre avatar
D'ailleurs il faudrait tag cet article en sécurité plutôt que science non ?
votre avatar
Avec nom, prénom, date et lieu de naissance, Iban.... Je pense qu'il est possible de souscrire des abonnements assez facilement, manque plus qu'une fausse pièce d'identité et vlan.
Bonjour l'usurpation d'identité
votre avatar
Je ne compte plus le nombre de prélèvement que j'ai sans avoir renvoyé l'autorisation de prélèvement...
Donc, à mon avis, la seule protection c'est de vérifier consciencieusement son compte. Ce qui peut être très chronophage quand on a beaucoup d'opérations avec des intitulés pas toujours explicites.
votre avatar
La vraie solution serait de remplacer le concept obsolète de signer un mandat par une demande à accepter explicitement depuis l'interface d'administration.
votre avatar
Effectivement. Un système de génération de clef à la volée par ex.
Tu vas sur le site de la banque, tu génères une clef à usage unique que tu donnes au créancier et hop. Tu n’as pas besoin de fournir ton IBAN ou autre, et tu bénéficies d’un contrôle beaucoup plus précis.
Mais ça implique une vraie volonté politique d’imposer cette solution. Les banques n’ayant aucun intérêt à pousser à une meilleure sécurité (elles ont déjà poussé pour passer de liste blanche à liste noire il y a quelques années).
votre avatar
La seule protection, c'est le prélèvement sur liste blanche, autorisé par les textes EU, il me semble mais mal mis en avant.
votre avatar
Malheureusement - et on voit ça dans le cas de la SFAM qui prélevé des anciens clients via des sociétés françaises et étrangères avec qui les clients n'ont rien contracté - il n'y a pas beaucoup de solutions.

La seule solution pour être tranquille je pense est d'être chez une banque qui permet à ses clients de faire une liste de créanciers autorisés via leur numéro ICS indiqué sur le mandat. C'est possible à la BNP, visiblement pas à la Poste (je n ai pas trouvé d'option pour activer ça)...

À nous ou aux autorités de faire pression sur les établissements bancaires pour que ce service soit disponible et gerable facilement.
votre avatar
C'est également possible à la Caisse d'Epargne: https://www.caisse-epargne.fr/comptes-cartes/prelevement-sepa/#anchor-liste-noire
votre avatar
Et également dans le groupe Crédit Mutuel / CIC.
A mon avis, cette possibilité de mettre en place une liste blanche des créanciers autorisés est quasi généralisée maintenant dans les banques traditionnelles. En revanche les néobanques ne semblent pas la proposer, sauf erreur.
votre avatar
Pour être client chez eux, non!
La conseillère n'a jamais été capable de me dire comment l'activer (ou de demander à ses supérieurs).
votre avatar
OSEF, JE NE CONTRACTE PAS, je suis un êtres souverain :windu::francais:
Okay, je pars en courant....
votre avatar
:mdr2:
votre avatar
A priori, quand un créancier présente un prélèvement via un IBAN, il doit indiquer la "RUM" (Référence Unique de Mandat) qui est celle se trouvant sur le Mandat signé.
Il vous est possible de révoquer un Mandat, ce qui impose au créancier de vous en faire signer un autre, avec une autre référence.
Il faudrait rendre cette opération simple, systématique (en cas de doute) et/ou régulière (comme l'obligation de changer les mots de passe imposée par certains), ça obligerais à faire régulièrement le point sur les autorisations de prélèvement accordées.
votre avatar
Avec un iban, rien de plus facile pour se faire piquer de l'argent sur son compte. Et j'en sais quelque chose, j'en ai été victime cette année. Ne croyez pas qu'il faille valider la demande de prélèvement. Avec les virements SEPA, l'accord est tacitement donné à celui qui présente votre iban. Seule maigre consolation: demander le remboursement à sa banque. Mais trop tard, le mal est fait. Quand la même banque ne prévient même pas lors de la mise en place d'un nouveau prélèvement, je ne vous parle pas du stress à voir son compte prélevé sans aucune autre forme de procès... Depuis, je vérifie mes comptes tous les matin. Merci sepa ! Comment s'en protéger ? Je pense malheureusement qu'il n'y a pas de solution proactive.
votre avatar
Les prélèvements non-autorisés peuvent être contestés et doivent être remboursés par la banque pendant un délai de 13 Mois. Ca laisse quand même le temps de voir venir pour les clients qui jettent un oeil à leur compte de temps en temps.
votre avatar
Les prélèvements frauduleux sont généralement d'un faible montant, multiples et auprès de centaines / milliers de comptes. C'est comme ça qu'on évite les réclamations : les gens ne s'en aperçoivent pas pour une majorité et si c'est le cas certains ne se lancent pas dans une procédure pour 8€ et se disent que c'est probablement un achat qu'ils ont oublié sans se faire plus de soucis que ça.
votre avatar
Malheureusement dans le cas de mon fils, la banque se cache derrière un (faux) mandat de prélèvement présenté par le créancier pour ne pas rembourser. Et elle dit simplement de voir avec le créancier pour un "litige commercial". J'ai envoyé les éléments à une connaissance à la DGCCRF, j'attends ses conseils.
votre avatar
Demande au médiateur bancaire aussi.
votre avatar
Les banques disposent toutes d'un service qui permet de vérifier si le mandat a été signé par le débiteur (votre fils). Si tel n'est pas le cas, le remboursement est automatique.
Reste que peut être que le conseiller (ou certains services supports) vont du zèle. Le plus simple consiste à formuler une réclamation auprès de votre agence et les choses devraient se débloquer plus rapidement car la règlementation sur le sujet ne leur laisse pas de marge de manœuvre.
votre avatar
Le seul document (censément) signé par mon fils, c'est un document PDF avec une signature "électronique" provenant d'un service par SMS. J'en fait 13 à la douzaine tous les jours des comme ça.
votre avatar
-- supprimé --
votre avatar
Cas général:
- Le créancier est dans la zone SEPA (EEE/UE): ta banque accepte automatiquement le mandat et tu as 13 mois pour contester.
- Le créancier est hors zone SEPA: ta banque te demande une confirmation préalable.

Cas particuliers:
- chanceux: ta banque demande confirmation préalable pour les créanciers dans la zone SEPA. Cf les commentaires précédents qui disent que ca dépend des banques ou de la config de ton compte.
- pas-de-bol: ta banque accepte automatiquement le mandat d'un créancier hors zone SEPA. Dans ce cas, tu n'as que 70 jours pour contester.
votre avatar
J'ai également reçu ce nouveau mail ce matin ...
votre avatar
J'aime beaucoup le troll reprenant le troll de Xavier Niel trollant orange avec sa couverture qui fait penser au logo orange. ("l'arroseur arrosé ?")

Après bon, je ne suis plus chez free, mais je pense que vu l'importance de l'opérateur, tout le monde doit connaitre un peu des proches qui sont touchés. Il faut rester vigilant.

Comme quoi, free s'était fait épingler pour stocker en clair les mots de passes des abonnés, et bien c'était pas fini (comme le slogant de SFR à une époque 'et c'est pas fini').

L'attaque est peut être réalisée par un soft chez un sous traitant ou dans une filiale. Si il y a fuite ça ne veut pas dire que ça a été forcément de la compromission pure et dure d'un logiciel. C'est souvent plus simple de passer par le maillon le plus faible de la chaine, vous savez... entre la chaise et le clavier.
votre avatar
Ce qui est étonnant c'est le fait qu'il existe une db qui contient les iban et que celle-ci soit non chiffrée.
votre avatar
Perso, toujours aucun mail reçu de la part de Free.

Soit je ne suis pas du tout concerné pour une raison étrange, ce qui m'étonnerait fortement, soit Free enfreint le RGPD qui prévoit un délai de 72h pour notifier les clients en cas de risque élevé pour eux au regard des données volées, ce qui correspond bien à la situation.

Si c'est bien le cas, je m'empresserais d'ouvrir une plainte supplémentaire à la CNIL.
votre avatar
Le délai de 72h est pour la notification de la violation auprès de l'autorité compétente (la CNIL en France), pas pour les personnes concernées.

Qui plus est, la notification auprès des personnes n'est une obligation que dans le cas où la fuite présente un risque élevé (ce qui n'empêche pas le responsable de traitement de prévenir même si les risques sont faibles ou modérés), et dans les meilleurs délais (mais rien de fixé).
votre avatar
J'ai reçu l'information pour mes (anciens) abonnements FreeMobile. Je ne suis plus chez eux depuis avril 2024.
Par contre, rien reçu pour mon abonnement Freebox ... Bizarre bizarre.
votre avatar
Il va vraiment falloir qu'ils arrêtent avec leurs messages disant globalement que vous êtes désormais tout nu sur internet, sauf pour votre mot de passe, yeah ça nous fait une belle jambe.

Là, je ne suis pas concerné (à priori) car je ne suis plus client Free mobile depuis quelques années.
votre avatar
Attends qu´ils annoncent que les données d´anciens abonnés, qui évidemment n´avaient pas été supprimées de leurs bases de données, sont également concernées.

(Comme pour le Slip Français, France Travail, et bien d´autres.)
votre avatar
J’en doute pas, et il faut aussi que je vérifie quelle adresse électronique j’avais en contact de ce compte 😅, au cas où ça serait une que je ne consulte plus (très peu probable).
votre avatar
@bilbonsacquet apparemment il y d'ancien abonnés touchés :
Ho merci Free de me prévenir que n'étant plus abonné depuis fort longtemps, vous conservez quand même des données
Perso j'ai été client il y a plus de 15 an avec un peu de chance ils on perdu les disquettes ou les bandes 😜
votre avatar
Je viens de regarder, j'ai résilié Free Mobile mi-2018 et l'alias email que j'ai utilisé est toujours actif.

Et pour le moment, toujours pas de messages.
votre avatar
A priori,
ce n'est pas parce qu'on a résilié qu'on est nécessairement effacé de la base de données, vu qu' il est question d'abonnés actifs et inactifs dans le mail cité ici.
votre avatar
Au moins la com est claire est bien foutue, pas comme un certaine site marchand récemment piraté :singe:
votre avatar
Vont-il prendre une amende voir ou bien est-il possible d'engager une action collective ?
votre avatar
Ce pirate a de l'humour concernant la com récente du patron! Les clients pourraient en avoir un peu moins car voir fuiter les IBAN en plus des noms/adresse/mail, c'est le scénario catastrophe qui signe surtout "une sacrée boite de branquignols".
Plutôt que soigner la com foireuse de façade, il ferait mieux de faire le ménage dans son arrière boutique car au vu de ce qui en sort c'est forcément pas bien beau à voir. A l'image de ses raccordements fibre par chez moi.
votre avatar
Pour être au courant des histoires de logos Orange et Free de ces derniers jours, ça m'étonnerait pas que ça soit un employé/presta Free qui a eu accès aux données avec un simple export complet avec les bons droits. Et l'employé/presta veut juste se faire un "peu d'argent" de poche xD Auquel cas, ça ressemblerait à cette vidéo de Micode
votre avatar
Le sous-titre !! :mdr2::mdr2:
votre avatar
Quel amateurisme ... Tous les sites se vantent de crypter le mdp, même ceux qui ne détiennent aucune donnée financière, voire postale, de leurs adhérents. Et là, Free vient d'avouer (avec réticence) avoir stocké en clair les IBAN de ses clients, et en plus de se les laisser voler. J'espère qu'ils vont se gauler une prune à 8 chiffres. Quant au PDG, il devrait avoir l'honneur de présenter ses excuses. Et sa démission.
votre avatar
Cela ne veut pas dire que les données ne sont pas stockées sur des espaces qui ne sont pas chiffrés.

Car à un moment donné, pour pouvoir faire une action bancaire, Free doit bien avoir accès à l'IBAN "lisible" et les autres données du compte également.

Le seul éléments qui n'est pas stocké en clair est justement le mot de passe car on n'en a pas besoin, seule une version "cryptée" (un hash) est nécessaire. Lors de la connexion, on compare ce hash avec celui issu du mot de passe fourni par la personne qui se connecte.
votre avatar
Je ne comprends pas. L'IBAN, c'est comme le mdp. Il n'y en a pas besoin en permanence. Juste au moment de générer la demande de prélèvement. Alors pourquoi ne pas le stocker dans la bdd en version cryptée et le décrypter au moment de la demande ? Quelques micros secondes de CPU ? Et d'ailleurs la même question se pose pour toutes les données. Des solutions existent. Voir par exemple Microsoft Azure et le chiffrage des données au repos (et ce doit pas être le seul qui propose cela). Mais chez Free, c'est du cryptage en ASCII.
votre avatar
C'est là que la différence entre "chiffrer" et "crypter" est importante. Si tu peux déchiffrer même quelques "microseconde" ta donnée, elle pourra être récupérée en clair à un moment ou un autre, vu que tu dois stocker la clef qui te sert à déchiffrer la donnée en question.

Le mot de passe, s'il est hashé correctement, tu ne peux JAMAIS le déchiffrer, hormis quand ton algo de hash aura été cassé par une faille de sécurité.
votre avatar
même si l'information est chiffrée sur le support de stockage, forcément en passant par l'interface de lecture, il faudra décrypter pour utiliser l'information, si l'aspiration se fait depuis l'interface logiciel, le chiffrage à ce niveau ne sert qu'en cas de vol du support de stockage.
votre avatar
C’est le moment de ressortir ces liens :D

On dit chiffrer et pas crypter
[Édito] Crypter, chiffrer : le défi de la vulgarisation

Blague à part, chiffrer implique de stocker la clef de déchiffrement. Le serpent qui se mort la queue. La solution est à chercher à plus haut niveau sûrement (système bancaire).
votre avatar
j'avais bien commencé, mais deux foirages ensuite :francais:
votre avatar
Et sur un autre sujet : comment ne plus être redirigé vers next.ink Next ?

Ca serait bien qu'un dev se penche sur le sujet de ce bug énervant....
votre avatar
Comment dire ? J'ai l'impression d'être un pigeon doublé d'un mouton. Éventuellement je me fais voler de l'argent vien l'IBAN, éventuellement Free se contrefout de ce qu'il advient pour ses abonnés, éventuellement ma banque se fout bien de ma gueule en autorisant des prélèvement frauduleux.
Je suis éduqué en ce qui concerne les arnaques, mais certaines boites devraient également l'être, Free en premier lieu.
votre avatar
Sur la page d'accueil de next, cette actu ne figure pas dans la liste entre "Bitwarden..." et "Meta Ray-Ban...".
Pourquoi ???

Question subsidiaire, qu'ai-je manqué d'autre ?
votre avatar
Visiblement, c'est parce qu'elle est mise en exergue tout en haut.
votre avatar
C'est pas une raison valable pour l'enlever de la liste à mon avis.
votre avatar
Je n’ai jamais dit le contraire 😁

une amélioration pour @Ferd ?
votre avatar
C’est aussi très redondant d’avoir deux fois la même actu sur la homepage, parfois sans aucun article pour les séparer.

Arbitrage réfléchi et assumé ici, sorry guys.
votre avatar
Un point en moins pour la qualité du site en ce qui me concerne, point de vue assumé aussi. :transpi:
Ce que j'aime pour choisir les articles que je vais lire, c'est une liste chronologique bien rangée.
La tête de gondole en bout de rayon ne m'intéresse pas.

Une option pour choisir entre les 2 présentations serait pour moi bienvenue (je le dis tout en sachant que ça ne se fera pas).

Au fait, le lendemain, ça se passe comment, l'actu est recalée dans la liste de la veille ?
votre avatar
L'actu reprend sa place dans le flux oui.
votre avatar
Dans ce cas c'est bien moins grave que je l'ai imaginé.
Merci pour cette clarification.
votre avatar
Sur différents sites de news, on peut lire que les dates et lieu de naissance auraient aussi été récupérés, mais ce n'est pas écrit dans le message de Free ni sur le site univers freebox. D'où tiennent-il des infos ? Quelqu'un a-t-il des infos là dessus ?
votre avatar
ça c'est n'importe quoi, à la base, la création de compte ne demande pas date et lieu de naissance, il me semble, autant que je me souvienne, en tout cas, ça n'est pas dans le profil de l'abonné freebox, il semble que la date soit en donnée facultative sur un compte mobile.
votre avatar
Je ne suis pas client freebox (juste un abo mobile) et je viens de recevoir le mail de free. Dans la version qui m'est adressé, il n'est pas mentionné l'IBAN mais seulement le reste des données personnelles (adresse nom etc.).

C'est donc moins pire pour les abonnés mobile, mais pas forcément indolore non plus.
Tout cela est magnifreeque.
votre avatar
Serait-il possible pour ce genre d'images de texte de copier ce dernier dans une balise 'alt'?
votre avatar
Est-ce que "l'échantillon gratuit" est consultable quelque part (sans trop de risques) pour vérifier si on est déjà à poil publiquement, ou si ce sera plutôt un strip-tease devant un groupe restreint d'acheteurs?
votre avatar
Modération intéressante, donner un avis contradictoire sans animosité donne lieu à une suppression pure et simple. Je crains de ne pas adhérer à cette méthode et je risque de faire dans 15 jours comme d'autres avant moi.

Je suis con, je me suis modéré tout seul sans m'en rendre compte.

Free confirme la fuite des « IBAN de certains abonnés »

  • Le pirate publie un fichier avec 100 000 lignes

  • Mises aux enchères des données, à 70 000 dollars

  • Free confirme la fuite d’IBAN et prévient ses clients

Fermer