Free confirme une fuite de données personnelles de ses clients
Le 26 octobre à 00h43
2 min
Sécurité
Sécurité
Cela faisait plusieurs jours qu’une rumeur de fuite de données chez Free tournait sur les réseaux sociaux, sans confirmation officielle. Nous avions évidemment contacté l’opérateur, mais il n’avait pas souhaité répondre.
Quoi qu’il en soit, c’est désormais confirmé par un email envoyé à ses clients à partir de ce vendredi en fin de soirée. Vous avez été plusieurs à nous le faire suivre, merci à vous :
« Nous vous écrivons afin de vous informer que Free a été victime d’une cyberattaque ciblant un outil de gestion.
Cette attaque a entrainé un accès non autorisé à une partie des données personnelles associées à votre compte abonné : nom, prénom, adresses email et postale, date et lieu de naissance, numéro de téléphone, identifiant abonné et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non). Aucun de vos mots de passe n’est concerné ».
L’opérateur affirme bien sûr avoir pris toutes les mesures nécessaires « pour mettre fin à cette attaque et renforcer la protection de nos systèmes d’information ». La CNIL et l’ANSSI ont été notifiées, une plainte pénale a été déposée auprès du procureur de la République : « L’auteur de ce délit s’expose à une peine de cinq ans d’emprisonnement et de 150 000 euros d’amende », rappelle l’opérateur.
Il y a quelques jours, SaxX annonçait qu’un pirate avait mis en vente une base de données contenant 19 millions de comptes et cinq millions d’IBAN provenant de l’opérateur Free. Un nombre qui n’est pas confirmé – l’opérateur ne précise d’ailleurs pas l’ampleur des dégâts – et il n’est pas question des données bancaires dans la communication de Free.
Free est donc la dernière victime d’une longue liste depuis le mois de septembre : Boulanger, Cultura, DiviaMobilités, Truffaut, Cybertek et Grosbill (qui font partie du même groupe), l’Assurance retraite, RED by SFR, Meilleurtaux et Ornikar.
Le 26 octobre à 00h43
Commentaires (101)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 26/10/2024 à 03h19
Modifié le 26/10/2024 à 11h31
Le 26/10/2024 à 07h09
Le 26/10/2024 à 08h00
Le 26/10/2024 à 09h07
Le 26/10/2024 à 18h27
Le 27/10/2024 à 15h12
Tu rigole j'espère ? n'importe qui de malveillant à désormais suffisamment d'information pour contracter des petits prêt à mon nom (en dessous d'un certain montant il y a peux de vérification) et me laisser me démerde derrière .
Ne pouvant changer d'identité la seul solution serais de changer de compte. Je pense que les banque devrais mettre en place un système pour changer le numéro de compte et rendre caduc l'ancien en l'inscrivant dans une black list.
Modifié le 27/10/2024 à 16h27
La seule chose qui ait une valeur légale c'est l'injonction de payer signifiée par huissier (habituellement en face à face, parfois en lettre recommandée), avec la procédure de recours indiquée dessus et vérifiable sur Internet, qui en effet te coûtera une lettre recommandée pour contester, sans devoir prouver quoi que ce soit, c'est celui qui attaque qui doit prouver. Ce qui renverra l'affaire devant le tribunal compétent.
Pendant tout ce temps, et même après la contestation tant qu'un jugement de tribunal n'est pas rendu en ta défaveur (ce qui ne risque pas d'arriver vu le peu d'éléments de preuve côté créancier), aucune saisie sur place ou sur compte n'est possible même si on essaiera de te faire croire l'inverse pour que tu payes.
Voilà, on peut juger ça casse-pied mais je ne trouve pas le risque financier élevé.
Modifié le 31/10/2024 à 13h28
Si je calcule à mon prix de travail, et que je dois rédiger 3 courriers plus me casser la tête à aller à La Poste envoyer mes recommandés, classer mes papiers, stresser.
Bref 1 jour homme de foutu par prélèvement.
Même si j'ai été client Free comme particulier. Si j'évalue le coût de mon temps personnel au TJM d'un ingé, bonjour.
J'envoie la facture à Free pour son incompétence ?
Le 31/10/2024 à 14h00
Il faut pour cela que tu aies perdu une journée de travail. Et cela que tu sois indépendant (avec un TMJ) ou salarié (en indiquant ton salaire).
Modifié le 31/10/2024 à 14h14
Si tu veux envoyer une facture pour l'embêtement suite à un prélèvement indu, je pense que le destinataire ne devrait pas être Free mais plutôt celui qui aura essayé de te prélever. Si ça va jusqu'au procès pour le recouvrement, tu pourras demander des dommages et intérêts pour ce que tu viens de citer. Si ça s'arrête avant tu peux contre-attaquer avec une procédure contre le créancier indu.
Par contre, si tu es déjà en train de stresser pour cette histoire, tu peux toujours lancer dès maintenant une procédure contre Free pour préjudice moral. Je n'ai aucune idée de comment faire ni des chances de réussite, il faudrait se pencher sur le RGPD car c'est sûrement le point de départ le plus simple.
Le 26/10/2024 à 08h47
Donc les IBAN ne sont pas dans la nature ?
J'imagine que si c'était le cas, Free en aurait parlé, tellement le risque est énorme, non ?
Le 26/10/2024 à 13h54
Le 26/10/2024 à 08h51
Le 26/10/2024 à 11h28
A titre perso il faut quelques secondes pour annuler un prèlèvement automatique sur IBAN sur n'importe quelle banque alors que pour empécher un prèlèvement automatique par carte bancaire c'est assez compliqué ( j'ai donné )
Alors pourquoi tu trouves ça "contraignant" ? ( c'est une vraie question)
Le 26/10/2024 à 11h46
Le principe de laisser quelqu'un se servir sur mon compte me dérange.
Si l'organisme prend trop, c'est une galère ensuite pour faire une régularisation. Il faut avoir du temps et de l'énergie pour négocier avec des conseillers payés au lance-pierre, qui savent juste répondre "oui dossier en cours, veuillez patienter" et qui ne règlent jamais le problème.
Alors que par CB, tu peux contester une facture trop élevée et ne pas la payer. C'est le risque que le service soit coupé, mais les sous ne seront pas prélevés, et la coupure peut être abusive si l'erreur est avérée.
Par rapport à l'article, il est bien plus rassurant de se dire que son IBAN n'a pas fuité, s'il n'a pas été fourni.
Concernant la contrainte, chez Free si tu refuses le prélèvement automatique, tu as des frais tous les mois car Free présente de toute façon le prélèvement à la banque, qui est évidemment rejeté car pas d'autorisation. L'UFC Que Choisir m'a confirmé que c'est illégal mais je n'ai pas le courage de me battre (surtout que j'ai quitté Free le mois dernier).
Et si tu dis à Free que tu ne veux pas payer par prélèvement, on te propose le paiement par CB, avec une caution de garantie de 400 euros pour la box. Perso je peux pas laisser dormir 400 euros en caution pendant x mois/années chez eux, au prétexte que je veux payer par CB une fois le montant de la facture prélevé. Et la caution, c'est aussi le risque qu'on ne te la rende pas sur des motifs fallacieux, avec une longue bataille pour les récupérer si c'est abusif. Je ne souhaite pas éviter une contrainte (le prélèvement) pour en créer une autre (la caution).
Le 26/10/2024 à 12h31
Le 26/10/2024 à 12h58
J'utilise 3 banques différentes et c'est exactement comme avec la tienne ( CM )
Par contre avec la Mastercard ou la Visa c'est loin d'être simple ( du moins pour les prélèvements)
Je suppose que la banque n'étant qu'intermédiaire avec les Visa ou autre Mastercard c'est la raison de cette complexité
Mais bon , merci Jarrod et jpaul je comprend les différents raisonnements
Modifié le 26/10/2024 à 19h03
Le 27/10/2024 à 14h14
Le 26/10/2024 à 18h32
Des frais où ça pour le prélèvement rejeté ? Pas de la banque en tout cas, de Free donc ?
Les paiements CB sont plus difficiles à annuler car il faut justifier. Après si tu l'as déjà fait je suis curieux d'avoir ton retour d'expérience car je n'ai que très peu pratiqué l'annulation CB.
Le 26/10/2024 à 19h04
Modifié le 26/10/2024 à 19h13
S'ils ne donnent finalement aucune autre possibilité gratuite que le prélèvement il me semble que ce n'est pas légal mais j'ai oublié en vertu de quoi, ça doit être ça dont t'a parlé UFC.
Modifié le 27/10/2024 à 08h25
Le libellé des frais est "Facturation intérêts de retard en cas de défaut de paiement MM/YYYY", d'après une de mes factures.
Le 27/10/2024 à 14h14
C'était la première fois que j'avais un prélèvement automatique par CB ( suite à une série d'évènements avec un SAV) et depuis je n'utilise que les prélèvements SEPA qui eux s'annulent avec un seul click
pour détails : MP
Le 27/10/2024 à 14h44
Par contre je ne vois pas au Crédit Mutuel le bouton dont tu parles pour annuler un prélèvement. On peut annuler un mandat en cours (et encore même pas, seulement le mettre en opposition pour une durée déterminée), mais annuler un prélèvement déjà passé, j'ai pas trouvé.
Le 27/10/2024 à 15h30
( moi je suis chez d'autres banques)
Le 27/10/2024 à 18h04
Modifié le 26/10/2024 à 12h10
Les 5M d'IBAN Free c'est la communication du pirate qui vend le fichier et peut être le constat de spécialistes sécurité (le nombre d'IBAN, pas la source). Et si c'est bien vrai ça ne veut pas encore dire qu'ils viennent (tous) de Free (le pirate cherchant à monétiser au mieux son fichier très rapidement).
L'autre source c'est la communication de Free qui exclut les mots de passe mais n'évoque pas les coordonnées bancaires. Du coup, doute, mais pas encore confirmation.
Et il est possible que ça ne soit que partiel, par exemple que les IBAN des clients mobile et pas ceux de l'internet fixe.
Wait & see.
Mais si vous ne recevez pas de mail de Free c'est que vous n'êtes probablement pas concernés puisque la loi oblige les "piratés" a informer leurs clients concernés.
Le 26/10/2024 à 12h57
Le 27/10/2024 à 21h58
Le 27/10/2024 à 22h22
Le 28/10/2024 à 07h11
IBAN concerné pour la Freebox, mais pas le mobile.
Donc IBAN dans la nature.
Modifié le 26/10/2024 à 17h29
Dans les années 2010, je voulais souscrire un abonnement Free mobile mais Free refusait les CB Electron à autorisation systématique.
Merci mais non merci Free. Je suis chez Reef maintenant et je paie comme je veux.
Le 28/10/2024 à 08h14
Comme les token.
Le 28/10/2024 à 10h13
Avec la nouvelle présentation des commentaires j'ai du mal à suivre les discussions.
Le 28/10/2024 à 14h50
Le 28/10/2024 à 21h45
Le 26/10/2024 à 08h52
Le 26/10/2024 à 09h50
L'envoi est d'hier 22h28, probablement qu'ils envoient par lot...
Le 26/10/2024 à 12h22
Modifié le 26/10/2024 à 14h28
J'ai reçu le mien hier soir de Free Mobile.
Question aux experts : la loi oblige désormais à informer les clients en cas de fuite mais aussi à leur dire les éléments qui ont fuité, non ? Si l'IBAN a fuité Free est obligé de le dire ?
Le 27/10/2024 à 08h34
Donc tous les comptes sont concernés.
Le 28/10/2024 à 08h39
Le 26/10/2024 à 08h57
Merci pour l'article.
Ça m'amène deux questions :
1/ Est-il facile pour une personne qui récupère ces IBAN de mettre en place un prélèvement SEPA ?
2/ Peut-on demander à nos banques de ne pas autoriser la mise en place d'un prélèvement SEPA sans qu'on l'ait validé (comme on le fait pour un paiement par carte par exemple) ?
Modifié le 26/10/2024 à 09h22
Dans les jours et semaines qui viennent, bien regarder les personnes autorisées à faire un prélèvement sur le compte.
Le 26/10/2024 à 10h34
La mienne m'envoie une notification quand un nouvel émetteur (un nouveau créancier) fait un prélèvement pour pouvoir intervenir et le bloquer dans l'application de la banque.
Après, je ne sais pas si un IBAN bombing est possible.
Le 26/10/2024 à 12h38
Le 26/10/2024 à 13h13
Je suppose donc que c'est contrôlé et bien géré, à priori, ça ne peut être utilisé qu'entre banques, qui se font confiance, c'est facile pour un virement, mais plus difficile pour un prélèvement si on n'est pas dans la liste des créanciers autorisés.
Le 26/10/2024 à 18h35
Le 26/10/2024 à 08h57
Le 26/10/2024 à 09h36
Si jamais, je dis bien, jamais, il arrivait à effectuer un prélèvement, tu contactes ta banque, tu demandes à voir l'autorisation de prélèvement que tu as signé (car il faut une autorisation signée) et en l'absence, la banque sera tenue de te rembourser.
La seule chose que puisse faire un attaquant avec ton IBAN, c'est savoir la banque chez qui tu es, afin de faire une attaque ciblée comme une arnaque au faux conseiller bancaire.
Le 26/10/2024 à 10h18
Modifié le 26/10/2024 à 10h34
Sur la théorie, tu as raison. Sauf que tu oublies qu'un prélèvement est soumis à l'autorisation de ta banque. Si ta banque reçoit une demande de prélèvement, mais qu'elle n'a pas reçue de ta part l'autorisation de prélèvement, elle est tenue de le refuser.
En pratique, j'ai pu constater une certaine tolérance pour certains organismes très reconnue (EDF, Orange, etc...) où la demande de prélèvement a été autorisé par ma banque (et je pense que cela dépend de la banque).
Par exemple, j'ai du mettre en place un prélèvement en urgence pour OVH (car ma carte bancaire a été refusée du jour au lendemain, alors qu'elle était bien valide et qu'il y avait de l'argent sur le compte). Le prélèvement a pu être mis en place sans que je transmette l'autorisation à ma banque. Par contre, pour les impôts, le paiement de ma première TVA avait été rejeté, car l'autorisation de prélèvement n'était pas bon (j'ai transmis l'autorisation de l'administration fiscale, mais qui a présenté le prélèvement sous un autre numéro, donc ça a été rejeté).
Mais sinon, un organisme inconnue qui passe un prélèvement sans la demande d'autorisation qui va bien, ça n'arrive quasiment jamais. Et si cela arrive, ta banque sera tenue de te rembourser pour défaut d'autorisation.
[edit]
Petit rajout : il est maintenant possible dans pas mal de banque de voir et de s'opposer à un prélèvement à venir avant qu'il n'ait effectivement lieu depuis son application bancaire ou son compte en ligne. D'où l'intérêt aussi de consulter régulièrement ses comptes.
Le 26/10/2024 à 11h16
Le 26/10/2024 à 11h18
Le jour où quelqu’un signe un contrat avec autre chose que mon téléphone? Est ce que ça marche ?
Le 26/10/2024 à 11h57
Quand tu signes numériquement un document, on sait que tel numéro l'a signé (cas du code SMS que l'on reçoit par exemple). Si le numéro est le même que celui renseigné au niveau de ta banque, tu es considéré comme étant le signataire. Si le numéro est autre, je suppose qu'il faut prouver que le numéro t'appartient / ne t'appartient pas. Mais je ne sais pas à qui incombe la charge de la preuve.
Modifié le 26/10/2024 à 12h57
Tu as le droit d'accéder au document de preuve, tu peux le demander à Orange. Ils doivent le conserver 10 ans.
Si tu veux en savoir plus sur le fonctionnement de la signature électronique, tu peux lire le cahier des fonctionnalités de Lex Community. Lex Community est la version gratuite à destination des particuliers d'une entreprise française de signature électronique. Je m'en sers à titre perso pour signer des documents quand ceux-ci ne sont pas émis pour signature électronique. En gros je m'auto envoie le document, utilise le code reçu par SMS, et envoie la version signée. Histoire d'éviter d'imprimer/scanner bêtement. Jusqu'ici je n'ai pas eu de soucis.
Dans le cas de Sosh (donc aussi d'Orange), tu peux récupérer ton mandat SEPA signé numériquement sur l'espace client.
Modifié le 26/10/2024 à 18h42
Si tu contestes dans les 8 semaines, elle doit te rembourser immédiatement qu'il y ait autorisation ou non, inutile de vérifier le mandat. Si c'est dans les 13 mois et que tu dis que c'est non autorisé, elle doit te rembourser immédiatement mais elle peut demander au créancier (ou à sa banque) une copie du mandat et te re-prélever si c'était finalement autorisé. Je ne pense pas qu'il soit légal d'attendre de vérifier le mandat avant de te rembourser.
Modifié le 26/10/2024 à 19h30
virementprélèvement SEPA. Le SEPA Core, le plus classique, où c'est le créancier qui transmet généralement le mandat à la banque du débiteur.Le SEPA B2B, où c'est le débiteur qui doit transmettre le mandat à sa banque (et j'avoue, c'était dans le cadre de mon entreprise, pour le paiement des impôts où c'est un SEPA B2B). Je n'avais pas conscience de cette subtilité jusqu'à aujourd'hui.
De plus, le créancier doit avertir le débiteur 14j au moins avant le prélèvement (cette durée peut être réduite en cas d'accord entre le créditeur et le débiteur).
Modifié le 26/10/2024 à 19h17
Le 26/10/2024 à 19h29
Le 27/10/2024 à 09h36
Comme je le disais, en pratique les prélèvements frauduleux resteront peu fréquents car l'organisme va rapidement révoquer l'autorisation de prélèvement du fraudeur et récupérer les sous car la banque va annuler l'opération. Il faut par conséquent vérifier régulièrement son compte bancaire. Une fois tous les 2 mois, ça laisse une bonne marge de manœuvre. Après si le fraudeur a eu le temps de partir avec les sous récupérés avant que la banque annule les opérations frauduleuses, c'est un problème pour la banque, pas pour les clients fraudés qui eux seront remboursés dans tous les cas.
Le 27/10/2024 à 09h56
Le 29/10/2024 à 09h59
Le 26/10/2024 à 15h01
Même un prélèvement légitime peut être annulé, cela devient alors un litige commercial entre toi et le commerçant mais la banque n’est pas impliquée.
Ils seront plus difficiles avec la CB car elle sert justement à vendre aux commerçants la « certitude » d’être payés. D’où le fait qu’il faut quasi toujours passer par 3DS de nos jours puisque cela fait reposer la responsabilité de la transaction sur l’utilisateur contrairement à un paiement sans 3DS.
Le 26/10/2024 à 15h16
Dans le cas où c'est un virement frauduleux, et donc vers le compte d'un escroc, l'argent reste rarement longtemps sur le compte. Si pas d'argent, la procédure de recall échouera, car c'est un détail "bête", mais pour que le virement puisse être annulé, il faut que l'argent soit encore disponible.
Modifié le 26/10/2024 à 18h44
On ne peut pas faire un virement sortant avec un simple IBAN.
Le 26/10/2024 à 18h48
Le 26/10/2024 à 12h20
TL;DR: surveille tes comptes !
Le 26/10/2024 à 09h54
République Française
Le 28/10/2024 à 19h18
Le 26/10/2024 à 10h00
Modifié le 26/10/2024 à 10h45
Il y a une sacré latence dans la prise en compte des commentaires alors que pour une fois la page charge rapidement.
Le 26/10/2024 à 10h40
La plupart des systèmes ont été conçu avant l'arrivée des IA. Donc les attaquants ont un avantage net tant que les systèmes hébergeant des données sensibles ne sont pas protégés en conséquence.
Le 26/10/2024 à 10h44
Adresse free simple, sans abonnement payant derrière.
Le 26/10/2024 à 12h50
Modifié le 26/10/2024 à 14h10
Le 26/10/2024 à 14h26
Le 26/10/2024 à 15h18
Le 26/10/2024 à 15h20
Le 26/10/2024 à 13h54
Je l’ajoute dans l’actu pour plus de visibilité puisque la question revient souvent
Le 26/10/2024 à 15h52
Modifié le 26/10/2024 à 18h55
Après tout ça peut se falsifier tout ça mais bon quand ça va arriver chez l'usurpé ça va vite se voir que ça correspond à rien puisque l'escroc aura forcément fait des faux au hasard. Et il sera aussi possible de voir que l'argent n'est pas parti chez la bonne personne.
Une réponse aussi relativement simple c'est "vous avancez que j'aurais contracté tel et tel service, prouvez-le moi", en France on est présumé innocent, pas coupable (sauf pour les PV). C'est pas à toi de prouver ce que tu n'as pas fait, mais à celui qui demande de prouver que tu l'as fait.
Le 26/10/2024 à 19h12
Je me suis contenté de lire l'article cité par Sébastien plus haut sans rien y ajouter qui vient de mon expérience.
Le 27/10/2024 à 12h06
Twitter
Le 27/10/2024 à 21h33
Le 26/10/2024 à 14h44
Après avoir torturé le correspondant pendant 15 minutes, j'ai fini par avoir une réponse révélatrice: "personne ne nous a signalé un pb sur son compte bancaire pour l'instant".
Bel exemple de langue de bois qui est une reconnaissance implicite de la fuite des RIB.
@Sebastion Gavois : possible pour Next d'avoir plus d'infos ? Merci
Le 26/10/2024 à 17h41
En cas de crise, les consignes sont souvent de ne rien dire pour éviter que ça ne parte dans tous les sens ou en malentendu en attendant une communication officielle. Et si tu as "torturé" la personne au bout, à un moment elle a du aussi en avoir marre et dit n'importe quoi pour se débarrasser de toi.
Le 27/10/2024 à 18h27
Le 27/10/2024 à 19h05
Je pense qu'interroger le délégué à la protection des données aurait été plus approprié. dpo à iliad.fr.
En plus, ensuite si la réponse ne te convient pas, tu pourras porter plainte auprès de la CNIL puisque tu n'es pas de ceux qui baissent leur culotte.
Le 27/10/2024 à 20h22
Le 27/10/2024 à 22h20
Le 26/10/2024 à 17h43
Le 26/10/2024 à 18h05
Le 26/10/2024 à 19h48
Le 27/10/2024 à 02h04
Parce que autant les prélèvements à la Adecco, c'est pas génial, autant faire du Social Engineering sur les conseillers bancaires, ça peut faire de gros dégâts...
Modifié le 27/10/2024 à 14h57
Quant à l'argument de l'urgence, ça n'a normalement pas d'effet, on finira au pire par te dire qu'il fallait s'en occuper plus tôt.
Après si tu veux vraiment le savoir, c'est très simple, essaie toi même de le faire. Si le résultat n'est pas convaincant, change de banque.
Le 27/10/2024 à 15h16
Le 28/10/2024 à 09h19
Et j'ai d'ailleurs fait du nettoyage car certains vieux trucs étaient encore actifs
Par contre sur la page
Il est clairement écrit :
*Bon à savoir
Vous avez la possibilité de demander le rejet ou de suspendre les prélèvements non B2B.
Vous êtes une entreprise : la déclaration d’un mandat est obligatoire pour le paiement des prélèvements B2B présentés.*
Le 29/10/2024 à 15h01
Que faisaient des IBAN et autres données en clair sur une zone internet ?
Cela confirme une négligence extrême de la part de Free. L’expérience Free s’arrête ici en ce qui me concerne.