Fuite chez Free : la folle histoire des données vendues… ou pas
Une vente quantique
Et si les données personnelles et bancaires des clients de Free récupérées par un pirate n’avaient finalement pas été vendues ? C’est en tout cas ce qu’affirme le pirate qui revendique être à l’origine de la fuite. Pendant ce temps, le message annonçant la vente pour 175 000 dollars a été supprimé. On vous explique la situation.
Le 06 novembre à 17h00
9 min
Sécurité
Sécurité
Il y a deux semaines, l’actualité autour de Free était agitée. Le vendredi 25 octobre, le fournisseur d’accès envoyait ses premiers messages à des clients pour les informer d’une fuite de données. Le lundi 28, rebelote, mais avec une précision supplémentaire pour des clients Freebox : des IBAN en plus des données personnelles. Les risques sont réels et il faut donc penser à surveiller vos comptes si vous êtes touchés.
- Free confirme la fuite des « IBAN de certains abonnés »
- Fuite d’IBAN : quels sont les risques, comment se protéger
Récit d’une fuite de données et d’IBAN
Durant le week-end, un pirate affirmait détenir les données de 19,2 millions de clients Free, dont cinq millions accompagnés des IBAN (pour des abonnés Freebox uniquement). Il mettait aussi en ligne un fichier contenant pas moins de 100 000 lignes, avec des données personnelles de clients, dont les IBAN correspondants évidemment.
Le pirate – sous le pseudo drussellx – mettait l’ensemble des données aux enchères, à 70 000 dollars : « Si l'entreprise ne participe pas à cette unique vente aux enchères dans les prochains jours, cette copie sera vendue, ce qui entraînera de graves conséquences pour les clients, et sera probablement divulguée publiquement sur les forums dans un avenir proche », affirmait-il.
Des enchères et une base de données vendue 175 000 dollars…
Plus tard, le pirate avait mis à jour sa publication pour indiquer que les données avaient été vendues, et que les enchères avaient atteint 175 000 dollars. Il ajoutait avec une pointe d’humour un message à Free : « Free pensait que la base de données était gratuite, ils n’ont rien compris ».
Nous avions alors tenté de contacter drussellx, qui n’avait pas souhaité répondre. Par la suite, il a supprimé sa publication sur la vente des données de Free. Il n’a désormais plus aucun message à son actif.
Cette affaire avait bien inspiré Flock, qui nous avait proposé un dessin sur le sujet. Mais il y a un nouveau rebondissement, comme le rapportent DataBreaches et LeMagIT, et pas des moindres.
Il reste 72% de l'article à découvrir.
Déjà abonné ? Se connecter
Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.
Accédez en illimité aux articles
Profitez d'un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousFuite chez Free : la folle histoire des données vendues… ou pas
-
Récit d’une fuite de données et d’IBAN
-
Des enchères et une base de données vendue 175 000 dollars…
-
Une tentative de SCAM sur des données dérobées ?
-
YuroSh entre dans la danse et affirme être le pirate
-
Les données n’ont pas été « vendues aux enchères, ni vendues du tout »
-
« Je ne suis pas un saint, mais… »
-
Free aurait été alerté à plusieurs reprises
-
Des messages de prévention à la CNIL et chez Cybermalveillance
-
Cachez ce formulaire en ligne que je ne saurais voir
Commentaires (23)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 06/11/2024 à 17h41
il me semblerais sain que les société en cause envoie un mail avec le liens ce serait un minimum
Le 07/11/2024 à 03h14
Le 06/11/2024 à 17h57
Je ne connaissais pas cet espèce: le hacktiviste Franchouillard qui ne sait pas vendre.
Le sous-titre
Le 06/11/2024 à 20h49
Modifié le 06/11/2024 à 20h55
La CNIL ne s'occupe déjà pas des dossiers en cours. Je la vois mal traiter avec célérité des dizaines (centaines ?) de milliers de nouveaux dossiers.
De plus, la procédure est de la saisir après avoir saisi le responsable des données personnelles (ici Free), et que ce contact n'a rien donné. 30 jours après, on peut saisir la CNIL.
Mais que faut-il demander exactement ?
De nous fournir la liste des données que Free a en sa possession ? De nous indiquer la façon dont les données sont sécurisées, car c'est évidemment "leur priorité", comme tous les services qui ne les sécurisent pas assez ?
Demander de déposer plainte auprès de la CNIL, c'est de la luthomiction.
Sinon, j'hésite quand même à déposer plainte (au commissariat).
J'ai payé pendant des années des frais de rejet de prélèvement, car Free présentait tous les mois un prélèlvement à ma banque, qui n'ayant pas mon autorisation le rejetait. Moi je veux juste payer par CB, mais Free impose un dépôt de garantie de 400 euros. À ma connaissance c'est le seul FAI à faire ça, les autres autorisent la CB sans surcoût. Mais je peux pas me permettre d'avoir 400 euros dehors pendant x mois, juste parce que Free n'a pas confiance. Mais à force d'avoir ces frais, j'ai craqué et accepté le prélèvement. Je considère que c'est un peu forcé, car les contraintes sur les différents modes de paiement ne sont pas les mêmes. Le choix n'est pas libre.
Modifié le 07/11/2024 à 07h39
Ce point me semble concerner une relation contractuelle que tu as accepté. À moins de pouvoir démontrer qu'il s'agit d'un mécanisme illégal, je ne vois pas trop ce que y gagnerais à porter plainte pour ça.
Le 07/11/2024 à 21h06
Tu considères donc que puisqu'il y a contrat, une partie ne peut pas abuser de sa position ? Et évidemment je ne parle pas du con-sommateur... C'est pourtant une règle de base : tu n'as pas le droit de tenter un prélèvement si tu n'as pas reçu de mandat. Et tu n'as pas le droit de faire payer des frais si ce prélèvement a été (logiquement) rejeté.
Je t'invite à tenter l'expérience, et à venir nous raconter comment ça s'est fini. Spoiler : l'assistance ne t'assistera pas, et on te coupera le service malgré tes tentatives de contact et conciliation.
Mais tu auras peut-être plus de chance que moi, je suis preneur de tes conseils.
Le 07/11/2024 à 22h03
Je réagissais sur le fait que tu disais hésiter à déposer plainte en commissariat, suivi de la précision indiquant que Free serait le seul à appliquer des frais en plus pour le paiement CB.
Si cette pratique n'est pas illégale, les chances qu'une annulation de la clause dans le contrat sont faibles. Voilà ce que je voulais dire.
Qui appliquait les frais de rejet de prélèvement ? Free ou la banque ?
Si c'est Free qui majorait avec des pénalités sur le montant de l'abonnement en raison de ces impayés alors que tu n'avais pas signé de mandat de prélèvement et encore moins choisi ce moyen, là il est effectivement possible que ça joue en ta faveur puisqu'ils ne respectent pas leur part du contrat.
Et pas besoin d'être sur la défense, on peut encore dialoguer sans se sauter à la gorge. Merci.
Modifié le 08/11/2024 à 10h21
Le 07/11/2024 à 20h31
Le 06/11/2024 à 20h57
Sachant que je suis client freebox et Free mobile.
Le 06/11/2024 à 21h17
Le 06/11/2024 à 23h12
Le 07/11/2024 à 11h57
Le 07/11/2024 à 12h11
Le 07/11/2024 à 22h51
Le 07/11/2024 à 21h07
Mais vu que cela concerne des millions de personnes, c'est peut-être étalé dans le temps.
Le 06/11/2024 à 21h57
Le 06/11/2024 à 22h23
Le 06/11/2024 à 22h52
Le 07/11/2024 à 08h38
On glisse des adresses électroniques créées spécialement pour cette "copie" de la base client.
Puis si un jour on reçoit un message sur cette BAL on sait d'où vient la fuite.
Il me semble qu'au niveau perso il y a aussi des gens qui crée des adresses uniquement pour tel ou tel service. Au final ce que propose aussi certains SSO.
Modifié le 07/11/2024 à 12h19
J'utilise les alias hotmail/outlook (jusqu'à 10 je crois). Par contre j'autorise la connexion a mon compte qu'avec un alias, que j'utilise exclusivement à cette fin (je n'envois jamais avec cette adresse et ne la renseigne null part).
Et suite à la limitation à 10 @mail outlook, j'ai pris l'abonnement Firefox Relay.
Deux mode de fonctionnement :
- génération aléatoire d'une adresse en "xxxxxx.mozmail.com", sa impose de générer l'adresse avant son utilisation
- Génération à la volée d'@mail en [cequetuveux]@[ton sous domaine].mozmail.com
avec l'abonnement tu as le droit à une sous domaine de mail, exemple "toto". Et du coup sans avoir a généré une adresse préalablement, tu file [email protected]
Dans les deux cas, les adresses sont routé à ton @mail associé à ton compte mozilla.
Tu peux bloquer les @mail qu'elle soit @mozmail.com ou @toto.mozmail.com, mais je pense que rapidement, je me ferais spammer sur les @toto.mozmail.com, puisque je peux bloquer [email protected], si le méchant se dit "ballec et prend ça sur [email protected]" sa arrivera sur ma bal.
Il faudra que je le bloque test2, et le gus d'en face m'enverra les suivants sur [email protected] et ce sera sans fin...
Je n'y ai pas été confronté, mais je ne crois pas avoir vu de protection contre ça...
Surtout que leur intéret est justement de ne pas avoir à être pré générée pour fonctionner : on te prend au dépourvu avec un "donnez moi votre mail", tu peux répondre au tac au tac : [email protected]
Modifié le 07/11/2024 à 13h24
Ca marche aussi à la main : [email protected]
Cela permet de savoir aussi d'où peuvent venir les spams, car si tu reçois un mail publicitaire / newsletter adressé à +freemobile, tu sais que freemobile revend/cède/sefaitvoler tes données.
Le site peut également nettoyer les mails en supprimant le texte après + dans sa base de données...