Fuite chez Free : la folle histoire des données vendues… ou pas

Une vente quantique

Et si les données personnelles et bancaires des clients de Free récupérées par un pirate n’avaient finalement pas été vendues ? C’est en tout cas ce qu’affirme le pirate qui revendique être à l’origine de la fuite. Pendant ce temps, le message annonçant la vente pour 175 000 dollars a été supprimé. On vous explique la situation.

Sébastien Gavois

Le 06 novembre à 17h00

9 min

Sécurité

Il y a deux semaines, l’actualité autour de Free était agitée. Le vendredi 25 octobre, le fournisseur d’accès envoyait ses premiers messages à des clients pour les informer d’une fuite de données. Le lundi 28, rebelote, mais avec une précision supplémentaire pour des clients Freebox : des IBAN en plus des données personnelles. Les risques sont réels et il faut donc penser à surveiller vos comptes si vous êtes touchés.

Récit d’une fuite de données et d’IBAN

Durant le week-end, un pirate affirmait détenir les données de 19,2 millions de clients Free, dont cinq millions accompagnés des IBAN (pour des abonnés Freebox uniquement). Il mettait aussi en ligne un fichier contenant pas moins de 100 000 lignes, avec des données personnelles de clients, dont les IBAN correspondants évidemment.

Le pirate – sous le pseudo drussellx – mettait l’ensemble des données aux enchères, à 70 000 dollars : « Si l'entreprise ne participe pas à cette unique vente aux enchères dans les prochains jours, cette copie sera vendue, ce qui entraînera de graves conséquences pour les clients, et sera probablement divulguée publiquement sur les forums dans un avenir proche », affirmait-il.

Des enchères et une base de données vendue 175 000 dollars…

Plus tard, le pirate avait mis à jour sa publication pour indiquer que les données avaient été vendues, et que les enchères avaient atteint 175 000 dollars. Il ajoutait avec une pointe d’humour un message à Free : « Free pensait que la base de données était gratuite, ils n’ont rien compris ».

Nous avions alors tenté de contacter drussellx, qui n’avait pas souhaité répondre. Par la suite, il a supprimé sa publication sur la vente des données de Free. Il n’a désormais plus aucun message à son actif.

Cette affaire avait bien inspiré Flock, qui nous avait proposé un dessin sur le sujet. Mais il y a un nouveau rebondissement, comme le rapportent DataBreaches et LeMagIT, et pas des moindres.

#Flock : c’est show bouillant pour Free

Il reste 72% de l'article à découvrir.

Déjà abonné ? Se connecter

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Commentaires (23)

Ossito Abonné

Le 06/11/2024 à 17h41

Je n'avais pas su pour les formulaire pour la plainte contre France travail et les deux assureur tiers payant. Sinon je l'aurais remplie.

il me semblerais sain que les société en cause envoie un mail avec le liens ce serait un minimum

xlp Abonné

Le 07/11/2024 à 03h14

Je pense que le formulaire est pour porter plainte pour usurpation ou autre, pas pour le manque de protection des données.

Xanatos Abonné

Le 06/11/2024 à 17h57

Instructif.
Je ne connaissais pas cet espèce: le hacktiviste Franchouillard qui ne sait pas vendre.
Le sous-titre

EkinoX Abonné

Le 06/11/2024 à 20h49

Les mecs ont réalisé qu'ils étaient chez free et que s'ils changeaient ou supprimaient leurs données, ça pourrait se voir si free rachete la base. Maintenant les regrets

Jarodd Abonné

Modifié le 06/11/2024 à 20h55

Vous pouvez aussi « déposer plainte auprès de la CNIL si vous estimez que vos données personnelles n’ont pas été suffisamment protégées » et « engager au besoin une action de groupe ou un recours collectif ».

Mais... Pourquoi faire ?

La CNIL ne s'occupe déjà pas des dossiers en cours. Je la vois mal traiter avec célérité des dizaines (centaines ?) de milliers de nouveaux dossiers.
De plus, la procédure est de la saisir après avoir saisi le responsable des données personnelles (ici Free), et que ce contact n'a rien donné. 30 jours après, on peut saisir la CNIL.
Mais que faut-il demander exactement ?
De nous fournir la liste des données que Free a en sa possession ? De nous indiquer la façon dont les données sont sécurisées, car c'est évidemment "leur priorité", comme tous les services qui ne les sécurisent pas assez ?

Demander de déposer plainte auprès de la CNIL, c'est de la luthomiction.

Sinon, j'hésite quand même à déposer plainte (au commissariat).
J'ai payé pendant des années des frais de rejet de prélèvement, car Free présentait tous les mois un prélèlvement à ma banque, qui n'ayant pas mon autorisation le rejetait. Moi je veux juste payer par CB, mais Free impose un dépôt de garantie de 400 euros. À ma connaissance c'est le seul FAI à faire ça, les autres autorisent la CB sans surcoût. Mais je peux pas me permettre d'avoir 400 euros dehors pendant x mois, juste parce que Free n'a pas confiance. Mais à force d'avoir ces frais, j'ai craqué et accepté le prélèvement. Je considère que c'est un peu forcé, car les contraintes sur les différents modes de paiement ne sont pas les mêmes. Le choix n'est pas libre.

SebGF Abonné

Modifié le 07/11/2024 à 07h39

Pour le dernier point, une simple question : pourquoi rester chez eux si toutes ces contraintes et ce forcing ne te conviennent pas ?

Ce point me semble concerner une relation contractuelle que tu as accepté. À moins de pouvoir démontrer qu'il s'agit d'un mécanisme illégal, je ne vois pas trop ce que y gagnerais à porter plainte pour ça.

Jarodd Abonné

Le 07/11/2024 à 21h06

J'en suis parti. Mais c'est la même chose ailleurs.

Tu considères donc que puisqu'il y a contrat, une partie ne peut pas abuser de sa position ? Et évidemment je ne parle pas du con-sommateur... C'est pourtant une règle de base : tu n'as pas le droit de tenter un prélèvement si tu n'as pas reçu de mandat. Et tu n'as pas le droit de faire payer des frais si ce prélèvement a été (logiquement) rejeté.

Je t'invite à tenter l'expérience, et à venir nous raconter comment ça s'est fini. Spoiler : l'assistance ne t'assistera pas, et on te coupera le service malgré tes tentatives de contact et conciliation.
Mais tu auras peut-être plus de chance que moi, je suis preneur de tes conseils.

SebGF Abonné

Le 07/11/2024 à 22h03

Je ne considère rien du tout, inutile de me prêter des propos qui ne sont pas les miens et de partir dans je ne sais quel délire.

Je réagissais sur le fait que tu disais hésiter à déposer plainte en commissariat, suivi de la précision indiquant que Free serait le seul à appliquer des frais en plus pour le paiement CB.

Si cette pratique n'est pas illégale, les chances qu'une annulation de la clause dans le contrat sont faibles. Voilà ce que je voulais dire.

Qui appliquait les frais de rejet de prélèvement ? Free ou la banque ?

Si c'est Free qui majorait avec des pénalités sur le montant de l'abonnement en raison de ces impayés alors que tu n'avais pas signé de mandat de prélèvement et encore moins choisi ce moyen, là il est effectivement possible que ça joue en ta faveur puisqu'ils ne respectent pas leur part du contrat.

Et pas besoin d'être sur la défense, on peut encore dialoguer sans se sauter à la gorge. Merci.

Jarodd Abonné

Modifié le 08/11/2024 à 10h21

Je n'ai sauté à la gorge de personne. J'ai répondu à tes questions, et j'en ai posé une autre (que tu prends pour un "délire" et une affirmation de ma part... en étant sur la défensive).

Gibous Abonné

Le 07/11/2024 à 20h31

Luthomiction; je ne connaissais pas

Fennec72 Abonné

Le 06/11/2024 à 20h57

Est-ce que Free a prévenu personnellement chaque clients piratés ?
Sachant que je suis client freebox et Free mobile.

Berbe Abonné

Le 06/11/2024 à 21h17

Il y a eu des campagnes de courriel, non ?

Albirew Abonné

Le 06/11/2024 à 23h12

oui, j'ai bien reçu mes 2 mails free et free mobile là-dessus...

janvi Abonné

Le 07/11/2024 à 11h57

J'ai recu que pour un des deux, et sans avoir l'information RIB de mon coté

Albirew Abonné

Le 07/11/2024 à 12h11

pour moi, l'info RIB n'était présente que sur le mail free mobile, pas sur free ligne fixe

Kwacep Abonné

Le 07/11/2024 à 22h51

De mon côté, c'est l'inverse.

Jarodd Abonné

Le 07/11/2024 à 21h07

Je l'ai reçu, plusieurs après l'annonce dans la presse.
Mais vu que cela concerne des millions de personnes, c'est peut-être étalé dans le temps.

Z-os Abonné

Le 06/11/2024 à 21h57

J'ajoute Alice Delice à la liste de septembre/octobre.

Alianirah Abonné

Le 06/11/2024 à 22h23

Super article qui fait sourire et inquiète aussi, tant sur la sécurité que la mauvaise communication des médias qui font juste la course à l'info sans qualité

MisterDams Abonné

Le 06/11/2024 à 22h52

Décidément, même les vraies news intègrent désormais des parts de Fake news 😅

skan

Le 07/11/2024 à 08h38

D'où toujours "noyauter" sa propre base client. (et surtout valable quand on passe par des intermédiaires)
On glisse des adresses électroniques créées spécialement pour cette "copie" de la base client.

Puis si un jour on reçoit un message sur cette BAL on sait d'où vient la fuite.

Il me semble qu'au niveau perso il y a aussi des gens qui crée des adresses uniquement pour tel ou tel service. Au final ce que propose aussi certains SSO.

janvi Abonné

Modifié le 07/11/2024 à 12h19

c'est mon cas :
J'utilise les alias hotmail/outlook (jusqu'à 10 je crois). Par contre j'autorise la connexion a mon compte qu'avec un alias, que j'utilise exclusivement à cette fin (je n'envois jamais avec cette adresse et ne la renseigne null part).

Et suite à la limitation à 10 @mail outlook, j'ai pris l'abonnement Firefox Relay.
Deux mode de fonctionnement :
- génération aléatoire d'une adresse en "xxxxxx.mozmail.com", sa impose de générer l'adresse avant son utilisation
- Génération à la volée d'@mail en [cequetuveux]@[ton sous domaine].mozmail.com
avec l'abonnement tu as le droit à une sous domaine de mail, exemple "toto". Et du coup sans avoir a généré une adresse préalablement, tu file [email protected]

Dans les deux cas, les adresses sont routé à ton @mail associé à ton compte mozilla.

Tu peux bloquer les @mail qu'elle soit @mozmail.com ou @toto.mozmail.com, mais je pense que rapidement, je me ferais spammer sur les @toto.mozmail.com, puisque je peux bloquer [email protected], si le méchant se dit "ballec et prend ça sur [email protected]" sa arrivera sur ma bal.
Il faudra que je le bloque test2, et le gus d'en face m'enverra les suivants sur [email protected] et ce sera sans fin...
Je n'y ai pas été confronté, mais je ne crois pas avoir vu de protection contre ça...
Surtout que leur intéret est justement de ne pas avoir à être pré générée pour fonctionner : on te prend au dépourvu avec un "donnez moi votre mail", tu peux répondre au tac au tac : [email protected]

gwado

Modifié le 07/11/2024 à 13h24

Tu peux aussi ajouter un texte dans le mail que tu indiques. Bitwarden le propose à la création d'un identifiant.
Ca marche aussi à la main : [email protected]
Cela permet de savoir aussi d'où peuvent venir les spams, car si tu reçois un mail publicitaire / newsletter adressé à +freemobile, tu sais que freemobile revend/cède/sefaitvoler tes données.

Le site peut également nettoyer les mails en supprimant le texte après + dans sa base de données...