Free confirme une fuite de données personnelles de ses clients
Le 26 octobre à 00h43
2 min
Sécurité
Cela faisait plusieurs jours qu’une rumeur de fuite de données chez Free tournait sur les réseaux sociaux, sans confirmation officielle. Nous avions évidemment contacté l’opérateur, mais il n’avait pas souhaité répondre.
Quoi qu’il en soit, c’est désormais confirmé par un email envoyé à ses clients à partir de ce vendredi en fin de soirée. Vous avez été plusieurs à nous le faire suivre, merci à vous :
« Nous vous écrivons afin de vous informer que Free a été victime d’une cyberattaque ciblant un outil de gestion.
Cette attaque a entrainé un accès non autorisé à une partie des données personnelles associées à votre compte abonné : nom, prénom, adresses email et postale, date et lieu de naissance, numéro de téléphone, identifiant abonné et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non). Aucun de vos mots de passe n’est concerné ».
L’opérateur affirme bien sûr avoir pris toutes les mesures nécessaires « pour mettre fin à cette attaque et renforcer la protection de nos systèmes d’information ». La CNIL et l’ANSSI ont été notifiées, une plainte pénale a été déposée auprès du procureur de la République : « L’auteur de ce délit s’expose à une peine de cinq ans d’emprisonnement et de 150 000 euros d’amende », rappelle l’opérateur.
Il y a quelques jours, SaxX annonçait qu’un pirate avait mis en vente une base de données contenant 19 millions de comptes et cinq millions d’IBAN provenant de l’opérateur Free. Un nombre qui n’est pas confirmé – l’opérateur ne précise d’ailleurs pas l’ampleur des dégâts – et il n’est pas question des données bancaires dans la communication de Free.
Free est donc la dernière victime d’une longue liste depuis le mois de septembre : Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe), l’Assurance retraite, RED by SFR, Meilleurtaux et Ornikar.
Le 26 octobre à 00h43
Commentaires (66)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousAujourd'hui à 03h19
#1
Modifié le 26/10/2024 à 11h31
#2
Aujourd'hui à 07h09
#3
Aujourd'hui à 08h00
#3.1
Aujourd'hui à 09h07
#3.1.1
Aujourd'hui à 18h27
#3.1.2
Aujourd'hui à 08h47
#4
Donc les IBAN ne sont pas dans la nature ?
J'imagine que si c'était le cas, Free en aurait parlé, tellement le risque est énorme, non ?
Aujourd'hui à 13h54
#4.1
Aujourd'hui à 08h51
#5
Merci Free de rendre les autres moyens de paoement (CB notamment) tellement contraignants qu'on est obligés d'accepter le prélèvement !
Aujourd'hui à 11h28
#5.1
A titre perso il faut quelques secondes pour annuler un prèlèvement automatique sur IBAN sur n'importe quelle banque alors que pour empécher un prèlèvement automatique par carte bancaire c'est assez compliqué ( j'ai donné )
Alors pourquoi tu trouves ça "contraignant" ? ( c'est une vraie question)
Aujourd'hui à 11h46
#5.1.1
Le principe de laisser quelqu'un se servir sur mon compte me dérange.
Si l'organisme prend trop, c'est une galère ensuite pour faire une régularisation. Il faut avoir du temps et de l'énergie pour négocier avec des conseillers payés au lance-pierre, qui savent juste répondre "oui dossier en cours, veuillez patienter" et qui ne règlent jamais le problème.
Alors que par CB, tu peux contester une facture trop élevée et ne pas la payer. C'est le risque que le service soit coupé, mais les sous ne seront pas prélevés, et la coupure peut être abusive si l'erreur est avérée.
Par rapport à l'article, il est bien plus rassurant de se dire que son IBAN n'a pas fuité, s'il n'a pas été fourni.
Concernant la contrainte, chez Free si tu refuses le prélèvement automatique, tu as des frais tous les mois car Free présente de toute façon le prélèvement à la banque, qui est évidemment rejeté car pas d'autorisation. L'UFC Que Choisir m'a confirmé que c'est illégal mais je n'ai pas le courage de me battre (surtout que j'ai quitté Free le mois dernier).
Et si tu dis à Free que tu ne veux pas payer par prélèvement, on te propose le paiement par CB, avec une caution de garantie de 400 euros pour la box. Perso je peux pas laisser dormir 400 euros en caution pendant x mois/années chez eux, au prétexte que je veux payer par CB une fois le montant de la facture prélevé. Et la caution, c'est aussi le risque qu'on ne te la rende pas sur des motifs fallacieux, avec une longue bataille pour les récupérer si c'est abusif. Je ne souhaite pas éviter une contrainte (le prélèvement) pour en créer une autre (la caution).
Aujourd'hui à 12h31
#5.1.2
Aujourd'hui à 12h58
#5.1.3
J'utilise 3 banques différentes et c'est exactement comme avec la tienne ( CM )
Par contre avec la Mastercard ou la Visa c'est loin d'être simple ( du moins pour les prélèvements)
Je suppose que la banque n'étant qu'intermédiaire avec les Visa ou autre Mastercard c'est la raison de cette complexité
Mais bon , merci Jarrod et jpaul je comprend les différents raisonnements
Modifié le 26/10/2024 à 19h03
#5.1.5
Aujourd'hui à 18h32
#5.1.4
Des frais où ça pour le prélèvement rejeté ? Pas de la banque en tout cas, de Free donc ?
Les paiements CB sont plus difficiles à annuler car il faut justifier. Après si tu l'as déjà fait je suis curieux d'avoir ton retour d'expérience car je n'ai que très peu pratiqué l'annulation CB.
Aujourd'hui à 19h04
#5.1.6
Modifié le 26/10/2024 à 19h13
#5.1.7
S'ils ne donnent finalement aucune autre possibilité gratuite que le prélèvement il me semble que ce n'est pas légal mais j'ai oublié en vertu de quoi, ça doit être ça dont t'a parlé UFC.
Modifié le 26/10/2024 à 12h10
#5.2
Les 5M d'IBAN Free c'est la communication du pirate qui vend le fichier et peut être le constat de spécialistes sécurité (le nombre d'IBAN, pas la source). Et si c'est bien vrai ça ne veut pas encore dire qu'ils viennent (tous) de Free (le pirate cherchant à monétiser au mieux son fichier très rapidement).
L'autre source c'est la communication de Free qui exclut les mots de passe mais n'évoque pas les coordonnées bancaires. Du coup, doute, mais pas encore confirmation.
Et il est possible que ça ne soit que partiel, par exemple que les IBAN des clients mobile et pas ceux de l'internet fixe.
Wait & see.
Mais si vous ne recevez pas de mail de Free c'est que vous n'êtes probablement pas concernés puisque la loi oblige les "piratés" a informer leurs clients concernés.
Aujourd'hui à 12h57
#5.2.1
Modifié le 26/10/2024 à 17h29
#5.3
Dans les années 2010, je voulais souscrire un abonnement Free mobile mais Free refusait les CB Electron à autorisation systématique.
Merci mais non merci Free. Je suis chez Reef maintenant et je paie comme je veux.
Aujourd'hui à 08h52
#6
Aujourd'hui à 09h50
#6.1
L'envoi est d'hier 22h28, probablement qu'ils envoient par lot...
Aujourd'hui à 12h22
#6.1.1
Modifié le 26/10/2024 à 14h28
#6.1.2
J'ai reçu le mien hier soir de Free Mobile.
Question aux experts : la loi oblige désormais à informer les clients en cas de fuite mais aussi à leur dire les éléments qui ont fuité, non ? Si l'IBAN a fuité Free est obligé de le dire ?
Aujourd'hui à 08h57
#7
Merci pour l'article.
Ça m'amène deux questions :
1/ Est-il facile pour une personne qui récupère ces IBAN de mettre en place un prélèvement SEPA ?
2/ Peut-on demander à nos banques de ne pas autoriser la mise en place d'un prélèvement SEPA sans qu'on l'ait validé (comme on le fait pour un paiement par carte par exemple) ?
Modifié le 26/10/2024 à 09h22
#7.1
Dans les jours et semaines qui viennent, bien regarder les personnes autorisées à faire un prélèvement sur le compte.
Aujourd'hui à 10h34
#7.2
La mienne m'envoie une notification quand un nouvel émetteur (un nouveau créancier) fait un prélèvement pour pouvoir intervenir et le bloquer dans l'application de la banque.
Après, je ne sais pas si un IBAN bombing est possible.
Aujourd'hui à 12h38
#7.2.1
Aujourd'hui à 13h13
#7.2.2
Je suppose donc que c'est contrôlé et bien géré, à priori, ça ne peut être utilisé qu'entre banques, qui se font confiance, c'est facile pour un virement, mais plus difficile pour un prélèvement si on n'est pas dans la liste des créanciers autorisés.
Aujourd'hui à 18h35
#7.2.3
Aujourd'hui à 08h57
#8
Aujourd'hui à 09h36
#8.1
Si jamais, je dis bien, jamais, il arrivait à effectuer un prélèvement, tu contactes ta banque, tu demandes à voir l'autorisation de prélèvement que tu as signé (car il faut une autorisation signée) et en l'absence, la banque sera tenue de te rembourser.
La seule chose que puisse faire un attaquant avec ton IBAN, c'est savoir la banque chez qui tu es, afin de faire une attaque ciblée comme une arnaque au faux conseiller bancaire.
Aujourd'hui à 10h18
#8.1.1
Modifié le 26/10/2024 à 10h34
#8.1.2
Du coup, c'est facile ou c'est pas facile ? ;)
Sur la théorie, tu as raison. Sauf que tu oublies qu'un prélèvement est soumis à l'autorisation de ta banque. Si ta banque reçoit une demande de prélèvement, mais qu'elle n'a pas reçue de ta part l'autorisation de prélèvement, elle est tenue de le refuser.
En pratique, j'ai pu constater une certaine tolérance pour certains organismes très reconnue (EDF, Orange, etc...) où la demande de prélèvement a été autorisé par ma banque (et je pense que cela dépend de la banque).
Par exemple, j'ai du mettre en place un prélèvement en urgence pour OVH (car ma carte bancaire a été refusée du jour au lendemain, alors qu'elle était bien valide et qu'il y avait de l'argent sur le compte). Le prélèvement a pu être mis en place sans que je transmette l'autorisation à ma banque. Par contre, pour les impôts, le paiement de ma première TVA avait été rejeté, car l'autorisation de prélèvement n'était pas bon (j'ai transmis l'autorisation de l'administration fiscale, mais qui a présenté le prélèvement sous un autre numéro, donc ça a été rejeté).
Mais sinon, un organisme inconnue qui passe un prélèvement sans la demande d'autorisation qui va bien, ça n'arrive quasiment jamais. Et si cela arrive, ta banque sera tenue de te rembourser pour défaut d'autorisation.
[edit]
Petit rajout : il est maintenant possible dans pas mal de banque de voir et de s'opposer à un prélèvement à venir avant qu'il n'ait effectivement lieu depuis son application bancaire ou son compte en ligne. D'où l'intérêt aussi de consulter régulièrement ses comptes.
Aujourd'hui à 11h16
#8.1.3
Aujourd'hui à 11h18
#8.1.4
Le jour où quelqu’un signe un contrat avec autre chose que mon téléphone? Est ce que ça marche ?
Aujourd'hui à 11h57
#8.1.5
Quand tu signes numériquement un document, on sait que tel numéro l'a signé (cas du code SMS que l'on reçoit par exemple). Si le numéro est le même que celui renseigné au niveau de ta banque, tu es considéré comme étant le signataire. Si le numéro est autre, je suppose qu'il faut prouver que le numéro t'appartient / ne t'appartient pas. Mais je ne sais pas à qui incombe la charge de la preuve.
Modifié le 26/10/2024 à 12h57
#8.1.6
Tu as le droit d'accéder au document de preuve, tu peux le demander à Orange. Ils doivent le conserver 10 ans.
Si tu veux en savoir plus sur le fonctionnement de la signature électronique, tu peux lire le cahier des fonctionnalités de Lex Community. Lex Community est la version gratuite à destination des particuliers d'une entreprise française de signature électronique. Je m'en sers à titre perso pour signer des documents quand ceux-ci ne sont pas émis pour signature électronique. En gros je m'auto envoie le document, utilise le code reçu par SMS, et envoie la version signée. Histoire d'éviter d'imprimer/scanner bêtement. Jusqu'ici je n'ai pas eu de soucis.
Dans le cas de Sosh (donc aussi d'Orange), tu peux récupérer ton mandat SEPA signé numériquement sur l'espace client.
Modifié le 26/10/2024 à 18h42
#8.1.9
Si tu contestes dans les 8 semaines, elle doit te rembourser immédiatement qu'il y ait autorisation ou non, inutile de vérifier le mandat. Si c'est dans les 13 mois et que tu dis que c'est non autorisé, elle doit te rembourser immédiatement mais elle peut demander au créancier (ou à sa banque) une copie du mandat et te re-prélever si c'était finalement autorisé. Je ne pense pas qu'il soit légal d'attendre de vérifier le mandat avant de te rembourser.
Modifié le 26/10/2024 à 19h30
#8.1.12
C'est plus compliqué que ça. En fait, il existe plusieurs types de
virementprélèvement SEPA. Le SEPA Core, le plus classique, où c'est le créancier qui transmet généralement le mandat à la banque du débiteur.Le SEPA B2B, où c'est le débiteur qui doit transmettre le mandat à sa banque (et j'avoue, c'était dans le cadre de mon entreprise, pour le paiement des impôts où c'est un SEPA B2B). Je n'avais pas conscience de cette subtilité jusqu'à aujourd'hui.
De plus, le créancier doit avertir le débiteur 14j au moins avant le prélèvement (cette durée peut être réduite en cas d'accord entre le créditeur et le débiteur).
Modifié le 26/10/2024 à 19h17
#8.1.13
Aujourd'hui à 19h29
#8.1.14
Aujourd'hui à 15h01
#8.1.7
Même un prélèvement légitime peut être annulé, cela devient alors un litige commercial entre toi et le commerçant mais la banque n’est pas impliquée.
Ils seront plus difficiles avec la CB car elle sert justement à vendre aux commerçants la « certitude » d’être payés. D’où le fait qu’il faut quasi toujours passer par 3DS de nos jours puisque cela fait reposer la responsabilité de la transaction sur l’utilisateur contrairement à un paiement sans 3DS.
Aujourd'hui à 15h16
#8.1.8
Vrai pour la révocation, malheureusement pas si simple pour le remboursement. La procédure que tu décris s'appelle le recall et n'est malheureusement pas 100% efficace (et valable uniquement pour les virements SEPA). Dans le cadre d'un virement avec des organismes légitimes, il y a rarement des soucis. De plus, en fonction du pays, le recall peut être soumis à validation par celui qui a reçu l'argent (ce que ne fera jamais un escroc par principe)
Dans le cas où c'est un virement frauduleux, et donc vers le compte d'un escroc, l'argent reste rarement longtemps sur le compte. Si pas d'argent, la procédure de recall échouera, car c'est un détail "bête", mais pour que le virement puisse être annulé, il faut que l'argent soit encore disponible.
Modifié le 26/10/2024 à 18h44
#8.1.10
On ne peut pas faire un virement sortant avec un simple IBAN.
Aujourd'hui à 18h48
#8.1.11
Aujourd'hui à 12h20
#8.2
TL;DR: surveille tes comptes !
Aujourd'hui à 09h54
#9
https://www.cybermalveillance.gouv.fr/tous-nos-contenus/deposer-plainte-cybermalveillance
Aujourd'hui à 10h00
#10
Aujourd'hui à 10h40
#10.1
La plupart des systèmes ont été conçu avant l'arrivée des IA. Donc les attaquants ont un avantage net tant que les systèmes hébergeant des données sensibles ne sont pas protégés en conséquence.
Modifié le 26/10/2024 à 10h45
#10.2
Il y a une sacré latence dans la prise en compte des commentaires alors que pour une fois la page charge rapidement.
Aujourd'hui à 10h44
#11
Adresse free simple, sans abonnement payant derrière.
Aujourd'hui à 12h50
#11.1
Modifié le 26/10/2024 à 14h10
#11.1.1
Aujourd'hui à 14h26
#11.1.2
Aujourd'hui à 15h18
#11.1.3
Aujourd'hui à 15h20
#11.1.4
Aujourd'hui à 13h54
#12
Je l’ajoute dans l’actu pour plus de visibilité puisque la question revient souvent
Aujourd'hui à 15h52
#12.1
Modifié le 26/10/2024 à 18h55
#12.1.1
Après tout ça peut se falsifier tout ça mais bon quand ça va arriver chez l'usurpé ça va vite se voir que ça correspond à rien puisque l'escroc aura forcément fait des faux au hasard. Et il sera aussi possible de voir que l'argent n'est pas parti chez la bonne personne.
Une réponse aussi relativement simple c'est "vous avancez que j'aurais contracté tel et tel service, prouvez-le moi", en France on est présumé innocent, pas coupable (sauf pour les PV). C'est pas à toi de prouver ce que tu n'as pas fait, mais à celui qui demande de prouver que tu l'as fait.
Aujourd'hui à 19h12
#12.1.2
Je me suis contenté de lire l'article cité par Sébastien plus haut sans rien y ajouter qui vient de mon expérience.
Aujourd'hui à 14h44
#13
Après avoir torturé le correspondant pendant 15 minutes, j'ai fini par avoir une réponse révélatrice: "personne ne nous a signalé un pb sur son compte bancaire pour l'instant".
Bel exemple de langue de bois qui est une reconnaissance implicite de la fuite des RIB.
@Sebastion Gavois : possible pour Next d'avoir plus d'infos ? Merci
Aujourd'hui à 17h41
#13.1
Penses-tu qu'un conseiller en bout de chaîne aura le niveau d'information nécessaire ?
En cas de crise, les consignes sont souvent de ne rien dire pour éviter que ça ne parte dans tous les sens ou en malentendu en attendant une communication officielle. Et si tu as "torturé" la personne au bout, à un moment elle a du aussi en avoir marre et dit n'importe quoi pour se débarrasser de toi.
Aujourd'hui à 17h43
#13.2
Aujourd'hui à 18h05
#13.2.1
Aujourd'hui à 19h48
#13.3