Connexion
Abonnez-vous

Fuite chez Free : la folle histoire des données vendues… ou pas

Une vente quantique

Fuite chez Free : la folle histoire des données vendues… ou pas

Et si les données personnelles et bancaires des clients de Free récupérées par un pirate n’avaient finalement pas été vendues ? C’est en tout cas ce qu’affirme le pirate qui revendique être à l’origine de la fuite. Pendant ce temps, le message annonçant la vente pour 175 000 dollars a été supprimé. On vous explique la situation.

Le 06 novembre à 17h00

Il y a deux semaines, l’actualité autour de Free était agitée. Le vendredi 25 octobre, le fournisseur d’accès envoyait ses premiers messages à des clients pour les informer d’une fuite de données. Le lundi 28, rebelote, mais avec une précision supplémentaire pour des clients Freebox : des IBAN en plus des données personnelles. Les risques sont réels et il faut donc penser à surveiller vos comptes si vous êtes touchés.

Récit d’une fuite de données et d’IBAN

Durant le week-end, un pirate affirmait détenir les données de 19,2 millions de clients Free, dont cinq millions accompagnés des IBAN (pour des abonnés Freebox uniquement). Il mettait aussi en ligne un fichier contenant pas moins de 100 000 lignes, avec des données personnelles de clients, dont les IBAN correspondants évidemment.

Le pirate – sous le pseudo drussellx – mettait l’ensemble des données aux enchères, à 70 000 dollars : « Si l'entreprise ne participe pas à cette unique vente aux enchères dans les prochains jours, cette copie sera vendue, ce qui entraînera de graves conséquences pour les clients, et sera probablement divulguée publiquement sur les forums dans un avenir proche », affirmait-il.

Des enchères et une base de données vendue 175 000 dollars…

Plus tard, le pirate avait mis à jour sa publication pour indiquer que les données avaient été vendues, et que les enchères avaient atteint 175 000 dollars. Il ajoutait avec une pointe d’humour un message à Free : « Free pensait que la base de données était gratuite, ils n’ont rien compris ».

Nous avions alors tenté de contacter drussellx, qui n’avait pas souhaité répondre. Par la suite, il a supprimé sa publication sur la vente des données de Free. Il n’a désormais plus aucun message à son actif.

Cette affaire avait bien inspiré Flock, qui nous avait proposé un dessin sur le sujet. Mais il y a un nouveau rebondissement, comme le rapportent DataBreaches et LeMagIT, et pas des moindres.

Il reste 72% de l'article à découvrir.

Déjà abonné ? Se connecter

Cadenas en colère - Contenu premium

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Commentaires (23)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
Je n'avais pas su pour les formulaire pour la plainte contre France travail et les deux assureur tiers payant. Sinon je l'aurais remplie.

il me semblerais sain que les société en cause envoie un mail avec le liens ce serait un minimum :censored:
votre avatar
Je pense que le formulaire est pour porter plainte pour usurpation ou autre, pas pour le manque de protection des données.
votre avatar
Instructif.
Je ne connaissais pas cet espèce: le hacktiviste Franchouillard qui ne sait pas vendre.
Le sous-titre :bravo:
votre avatar
Les mecs ont réalisé qu'ils étaient chez free et que s'ils changeaient ou supprimaient leurs données, ça pourrait se voir si free rachete la base. Maintenant les regrets :D
votre avatar
Vous pouvez aussi « déposer plainte auprès de la CNIL si vous estimez que vos données personnelles n’ont pas été suffisamment protégées » et « engager au besoin une action de groupe ou un recours collectif ».
Mais... Pourquoi faire ?

La CNIL ne s'occupe déjà pas des dossiers en cours. Je la vois mal traiter avec célérité des dizaines (centaines ?) de milliers de nouveaux dossiers.
De plus, la procédure est de la saisir après avoir saisi le responsable des données personnelles (ici Free), et que ce contact n'a rien donné. 30 jours après, on peut saisir la CNIL.
Mais que faut-il demander exactement ?
De nous fournir la liste des données que Free a en sa possession ? De nous indiquer la façon dont les données sont sécurisées, car c'est évidemment "leur priorité", comme tous les services qui ne les sécurisent pas assez ?

Demander de déposer plainte auprès de la CNIL, c'est de la luthomiction.

Sinon, j'hésite quand même à déposer plainte (au commissariat).
J'ai payé pendant des années des frais de rejet de prélèvement, car Free présentait tous les mois un prélèlvement à ma banque, qui n'ayant pas mon autorisation le rejetait. Moi je veux juste payer par CB, mais Free impose un dépôt de garantie de 400 euros. À ma connaissance c'est le seul FAI à faire ça, les autres autorisent la CB sans surcoût. Mais je peux pas me permettre d'avoir 400 euros dehors pendant x mois, juste parce que Free n'a pas confiance. Mais à force d'avoir ces frais, j'ai craqué et accepté le prélèvement. Je considère que c'est un peu forcé, car les contraintes sur les différents modes de paiement ne sont pas les mêmes. Le choix n'est pas libre.
votre avatar
Pour le dernier point, une simple question : pourquoi rester chez eux si toutes ces contraintes et ce forcing ne te conviennent pas ?

Ce point me semble concerner une relation contractuelle que tu as accepté. À moins de pouvoir démontrer qu'il s'agit d'un mécanisme illégal, je ne vois pas trop ce que y gagnerais à porter plainte pour ça.
votre avatar
J'en suis parti. Mais c'est la même chose ailleurs.

Tu considères donc que puisqu'il y a contrat, une partie ne peut pas abuser de sa position ? Et évidemment je ne parle pas du con-sommateur... C'est pourtant une règle de base : tu n'as pas le droit de tenter un prélèvement si tu n'as pas reçu de mandat. Et tu n'as pas le droit de faire payer des frais si ce prélèvement a été (logiquement) rejeté.

Je t'invite à tenter l'expérience, et à venir nous raconter comment ça s'est fini. Spoiler : l'assistance ne t'assistera pas, et on te coupera le service malgré tes tentatives de contact et conciliation.
Mais tu auras peut-être plus de chance que moi, je suis preneur de tes conseils.
votre avatar
Je ne considère rien du tout, inutile de me prêter des propos qui ne sont pas les miens et de partir dans je ne sais quel délire.

Je réagissais sur le fait que tu disais hésiter à déposer plainte en commissariat, suivi de la précision indiquant que Free serait le seul à appliquer des frais en plus pour le paiement CB.

Si cette pratique n'est pas illégale, les chances qu'une annulation de la clause dans le contrat sont faibles. Voilà ce que je voulais dire.

Qui appliquait les frais de rejet de prélèvement ? Free ou la banque ?

Si c'est Free qui majorait avec des pénalités sur le montant de l'abonnement en raison de ces impayés alors que tu n'avais pas signé de mandat de prélèvement et encore moins choisi ce moyen, là il est effectivement possible que ça joue en ta faveur puisqu'ils ne respectent pas leur part du contrat.

Et pas besoin d'être sur la défense, on peut encore dialoguer sans se sauter à la gorge. Merci.
votre avatar
Je n'ai sauté à la gorge de personne. J'ai répondu à tes questions, et j'en ai posé une autre (que tu prends pour un "délire" et une affirmation de ma part... en étant sur la défensive).
votre avatar
Luthomiction; je ne connaissais pas
votre avatar
Est-ce que Free a prévenu personnellement chaque clients piratés ?
Sachant que je suis client freebox et Free mobile.
votre avatar
Il y a eu des campagnes de courriel, non ?
votre avatar
oui, j'ai bien reçu mes 2 mails free et free mobile là-dessus...
votre avatar
J'ai recu que pour un des deux, et sans avoir l'information RIB de mon coté
votre avatar
pour moi, l'info RIB n'était présente que sur le mail free mobile, pas sur free ligne fixe
votre avatar
De mon côté, c'est l'inverse.
votre avatar
Je l'ai reçu, plusieurs après l'annonce dans la presse.
Mais vu que cela concerne des millions de personnes, c'est peut-être étalé dans le temps.
votre avatar
J'ajoute Alice Delice à la liste de septembre/octobre.
votre avatar
Super article qui fait sourire et inquiète aussi, tant sur la sécurité que la mauvaise communication des médias qui font juste la course à l'info sans qualité
votre avatar
Décidément, même les vraies news intègrent désormais des parts de Fake news 😅
votre avatar
D'où toujours "noyauter" sa propre base client. (et surtout valable quand on passe par des intermédiaires)
On glisse des adresses électroniques créées spécialement pour cette "copie" de la base client.

Puis si un jour on reçoit un message sur cette BAL on sait d'où vient la fuite.


Il me semble qu'au niveau perso il y a aussi des gens qui crée des adresses uniquement pour tel ou tel service. Au final ce que propose aussi certains SSO.
votre avatar
c'est mon cas :
J'utilise les alias hotmail/outlook (jusqu'à 10 je crois). Par contre j'autorise la connexion a mon compte qu'avec un alias, que j'utilise exclusivement à cette fin (je n'envois jamais avec cette adresse et ne la renseigne null part).

Et suite à la limitation à 10 @mail outlook, j'ai pris l'abonnement Firefox Relay.
Deux mode de fonctionnement :
- génération aléatoire d'une adresse en "xxxxxx.mozmail.com", sa impose de générer l'adresse avant son utilisation
- Génération à la volée d'@mail en [cequetuveux]@[ton sous domaine].mozmail.com
avec l'abonnement tu as le droit à une sous domaine de mail, exemple "toto". Et du coup sans avoir a généré une adresse préalablement, tu file [email protected]

Dans les deux cas, les adresses sont routé à ton @mail associé à ton compte mozilla.

Tu peux bloquer les @mail qu'elle soit @mozmail.com ou @toto.mozmail.com, mais je pense que rapidement, je me ferais spammer sur les @toto.mozmail.com, puisque je peux bloquer [email protected], si le méchant se dit "ballec et prend ça sur [email protected]" sa arrivera sur ma bal.
Il faudra que je le bloque test2, et le gus d'en face m'enverra les suivants sur [email protected] et ce sera sans fin...
Je n'y ai pas été confronté, mais je ne crois pas avoir vu de protection contre ça...
Surtout que leur intéret est justement de ne pas avoir à être pré générée pour fonctionner : on te prend au dépourvu avec un "donnez moi votre mail", tu peux répondre au tac au tac : [email protected]
votre avatar
Tu peux aussi ajouter un texte dans le mail que tu indiques. Bitwarden le propose à la création d'un identifiant.
Ca marche aussi à la main : [email protected]
Cela permet de savoir aussi d'où peuvent venir les spams, car si tu reçois un mail publicitaire / newsletter adressé à +freemobile, tu sais que freemobile revend/cède/sefaitvoler tes données.

Le site peut également nettoyer les mails en supprimant le texte après + dans sa base de données...

Fuite chez Free : la folle histoire des données vendues… ou pas

  • Récit d’une fuite de données et d’IBAN

  • Des enchères et une base de données vendue 175 000 dollars…

  • Une tentative de SCAM sur des données dérobées  ?

  • YuroSh entre dans la danse et affirme être le pirate

  • Les données n’ont pas été « vendues aux enchères, ni vendues du tout »

  • « Je ne suis pas un saint, mais… »

  • Free aurait été alerté à plusieurs reprises

  • Des messages de prévention à la CNIL et chez Cybermalveillance

  • Cachez ce formulaire en ligne que je ne saurais voir

Fermer