Free confirme la fuite des « IBAN de certains abonnés »
Il a Free, tout est parti
Ce week-end a été assez agité chez Free. L’opérateur a prévenu ses clients d’une fuite de données personnelles. Le pirate publiait de son côté 100 000 lignes de données, avec des IBAN, comme un pied de nez à Free qui ne parlait pas des données bancaires. L’opérateur nous confirme aujourd’hui que certains IBAN des clients Freebox sont bien dans la nature.
Le 28 octobre à 09h32
3 min
Sécurité
Sécurité
À partir de vendredi soir et durant le week-end, Free a envoyé des emails à ses clients (fixe et mobile) pour les informer d’une fuite de données personnelles suite à une « cyberattaque ciblant un outil de gestion ».
Le pirate publie un fichier avec 100 000 lignes
« Nom, prénom, adresses email et postale, date et lieu de naissance, numéro de téléphone, identifiant abonné et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non) » ont été récupérés par le ou les pirates. « Aucun de vos mots de passe n’est concerné », encore heureux…
L’opérateur ne parlait alors pas d’une fuite de données bancaires, alors que le pirate revendiquait avoir en sa possession cinq millions d’IBAN. Ce week-end, après les premiers emails de Free, le pirate a mis en ligne à qui veut le télécharger un fichier texte avec « plus de 100 000 lignes d'IBAN français de clients Free ».
Mises aux enchères des données, à 70 000 dollars
« Une copie des données est sur le point d'être vendue plus de 70 000 dollars. Si l'entreprise ne participe pas à cette unique vente aux enchères dans les prochains jours, cette copie sera vendue, ce qui entraînera de graves conséquences pour les clients, et sera probablement divulguée publiquement sur les forums dans un avenir proche », ajoute le pirate.
Free confirme la fuite d’IBAN et prévient ses clients
On y retrouve bien les données listées par Free, mais aussi des IBAN. Contacté, Free nous confirme que « les IBAN de certains abonnés ont été concernés et ces derniers ont été informés par mail ». Cela ne concerne que des clients Freebox (sur le fixe donc). L’opérateur ne donne pas de chiffres sur l’étendue des dégâts, impossible donc de confirmer les 19 millions de clients concernés et les 5 millions d’emails annoncés par le pirate.
Effectivement, dans un email reçu ce matin pour une de nos lignes (avec une Freebox), le message n’est plus tout à fait le même :
« Nous vous écrivons afin de vous informer que Free a été victime d’une cyberattaque ciblant un outil de gestion.
Cette attaque a entrainé un accès non autorisé à une partie des données personnelles associées à votre compte abonné : nom, prénom, adresses email et postale, numéro de téléphone, identifiant abonné, IBAN et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non) ».
Le 28 octobre à 09h32
Free confirme la fuite des « IBAN de certains abonnés »
-
Le pirate publie un fichier avec 100 000 lignes
-
Mises aux enchères des données, à 70 000 dollars
-
Free confirme la fuite d’IBAN et prévient ses clients
Commentaires (30)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousAujourd'hui à 09h44
#1
Aujourd'hui à 09h50
#1.1
Aujourd'hui à 12h40
#1.2
Si c'est rentable, pourquoi s'arrêter.
Aujourd'hui à 09h48
#2
Est ce qu'un petit article / paragraphe sur les risques encouru est possible ?
Y a t il un moyen de s'en protéger ?
Aujourd'hui à 09h58
#2.1
Aujourd'hui à 09h59
#2.2
Aujourd'hui à 10h07
#2.2.1
Aujourd'hui à 10h43
#2.2.2
Aujourd'hui à 10h19
#2.3
Bonjour l'usurpation d'identité
Aujourd'hui à 10h48
#2.4
Donc, à mon avis, la seule protection c'est de vérifier consciencieusement son compte. Ce qui peut être très chronophage quand on a beaucoup d'opérations avec des intitulés pas toujours explicites.
Aujourd'hui à 11h14
#2.4.1
Aujourd'hui à 11h44
#2.5
La seule solution pour être tranquille je pense est d'être chez une banque qui permet à ses clients de faire une liste de créanciers autorisés via leur numéro ICS indiqué sur le mandat. C'est possible à la BNP, visiblement pas à la Poste (je n ai pas trouvé d'option pour activer ça)...
À nous ou aux autorités de faire pression sur les établissements bancaires pour que ce service soit disponible et gerable facilement.
Aujourd'hui à 11h51
#2.5.1
Aujourd'hui à 13h47
#2.6
Il vous est possible de révoquer un Mandat, ce qui impose au créancier de vous en faire signer un autre, avec une autre référence.
Il faudrait rendre cette opération simple, systématique (en cas de doute) et/ou régulière (comme l'obligation de changer les mots de passe imposée par certains), ça obligerais à faire régulièrement le point sur les autorisations de prélèvement accordées.
Aujourd'hui à 09h49
#3
Aujourd'hui à 10h10
#4
Après bon, je ne suis plus chez free, mais je pense que vu l'importance de l'opérateur, tout le monde doit connaitre un peu des proches qui sont touchés. Il faut rester vigilant.
Comme quoi, free s'était fait épingler pour stocker en clair les mots de passes des abonnés, et bien c'était pas fini (comme le slogant de SFR à une époque 'et c'est pas fini').
L'attaque est peut être réalisée par un soft chez un sous traitant ou dans une filiale. Si il y a fuite ça ne veut pas dire que ça a été forcément de la compromission pure et dure d'un logiciel. C'est souvent plus simple de passer par le maillon le plus faible de la chaine, vous savez... entre la chaise et le clavier.
Aujourd'hui à 10h44
#4.1
Modifié le 28/10/2024 à 10h16
#5
Soit je ne suis pas du tout concerné pour une raison étrange, ce qui m'étonnerait fortement, soit Free enfreint le RGPD qui prévoit un délai de 72h pour notifier les clients en cas de risque élevé pour eux au regard des données volées, ce qui correspond bien à la situation.
Si c'est bien le cas, je m'empresserais d'ouvrir une plainte supplémentaire à la CNIL.
Modifié le 28/10/2024 à 10h18
#5.1
Qui plus est, la notification auprès des personnes n'est une obligation que dans le cas où la fuite présente un risque élevé (ce qui n'empêche pas le responsable de traitement de prévenir même si les risques sont faibles ou modérés), et dans les meilleurs délais (mais rien de fixé).
Aujourd'hui à 11h08
#5.2
Par contre, rien reçu pour mon abonnement Freebox ... Bizarre bizarre.
Aujourd'hui à 10h25
#6
Là, je ne suis pas concerné (à priori) car je ne suis plus client Free mobile depuis quelques années.
Aujourd'hui à 11h12
#6.1
(Comme pour le Slip Français, France Travail, et bien d´autres.)
Aujourd'hui à 11h56
#6.1.1
Modifié le 28/10/2024 à 11h21
#6.2
ce n'est pas parce qu'on a résilié qu'on est nécessairement effacé de la base de données, vu qu' il est question d'abonnés actifs et inactifs dans le mail cité ici.
Aujourd'hui à 11h19
#7
Aujourd'hui à 11h29
#8
Aujourd'hui à 11h32
#9
Plutôt que soigner la com foireuse de façade, il ferait mieux de faire le ménage dans son arrière boutique car au vu de ce qui en sort c'est forcément pas bien beau à voir. A l'image de ses raccordements fibre par chez moi.
Modifié le 28/10/2024 à 11h48
#10
Aujourd'hui à 11h47
#11
Aujourd'hui à 14h03
#12