Fuite de données chez Free Mobile/Freebox : 19 millions de fiches clients, 5 millions d'IBAN.... Ce que l'on sait

L'entreprise fondée par Xavier Niel a confirmé avoir été victime d'une cyberattaque contre un de ses outils de gestion. En début de semaine, un cybercriminel assurait détenir les fiches de tous les clients Free Mobile et Freebox ainsi que les identifiants bancaires de 5 millions d'abonnés à Internet.

Une enseigne Free (illustration)

Crédit : KENZO TRIBOUILLARD / AFP

LA RÈGLE D'OR NUMÉRIQUE - Fuite de données, piratage : les premiers réflexes à avoir

00:04:00

LA RÈGLE D'OR NUMÉRIQUE - Les outils pour renforcer la sécurité de vos comptes

00:04:51

LA RÈGLE D'OR NUMÉRIQUE - Faut-il mettre à jour son smartphone à chaque fois qu'il le demande ?

00:03:36

LA RÈGLE D'OR NUMÉRIQUE - Comment ne pas oublier ses mots de passe ?

00:03:20

Je m'abonne à la newsletter « Infos »

C'est potentiellement l'un des piratages les plus importants ayant jamais visé un opérateur en France. Après une enquête interne de plusieurs jours, Free a confirmé vendredi 25 octobre avoir été frappé par une fuite de données, dont l'ampleur semble pour le moins massive. Le fournisseur d'accès a commencé à notifier à ses clients dans un mail, que RTL a pu consulter, qu'il avait été la victime récente "d'une cyberattaque ciblant un outil de gestion".

D'après l'entreprise du groupe Iliad, l'attaque a entraîné "un accès non autorisé à une partie des données personnelles" des abonnés. Sont concernés : les noms, prénoms, adresses mail et postales, dates et lieux de naissance, numéros de téléphone, identifiants abonnés et données contractuelles. En revanche, les mots de passe ne seraient pas compromis. L'opérateur assure également à RTL que le contenu des communications par mail, SMS et messages vocaux n'est pas affecté, tout comme les cartes bancaires de ses clients.

Free n'évoque cependant pas spécifiquement la question des identifiants bancaires, les IBAN. Lors de la revendication du piratage en début de semaine sur un célèbre forum de revente de données volées, un cybercriminel assurait détenir les données de "tous les abonnés Freebox et Free mobile", soit 19,2 millions de clients, ainsi que les IBAN (International bank account number) de 5,1 millions d'abonnés à Internet. D'après l'expert en cybersécurité Clément Domingo, SaxX_ sur X (Twitter), l'attaque aurait eu lieu le 17 octobre et porterait sur deux bases de données séparées, les fiches clients d'un côté et les identifiants bancaires de l'autre.

Sollicité par RTL, le groupe Iliad n'a pas encore confirmé ces informations à ce stade. L'entreprise se contente d'évoquer les cartes bancaires de ses clients, mais laisse planer le doute sur les identifiants bancaires ainsi que sur le volume de la fuite de données. Comme il est de coutume dans pareille situation, Free assure toutefois que "toutes les mesures ont été prises immédiatement pour mettre fin à cette attaque et renforcer la protection de [ses] systèmes d'information". L'incident a été notifié à la Commission nationale de l'informatique et des libertés (Cnil) et à l'Agence nationale de sécurité de systèmes d'information (ANSSI). Une plainte a été déposée auprès du Procureur de la République.

Phishing, SIM swap, prélèvements frauduleux... Quels risques pour les clients de Free ?

Comme les clients de SFR, aussi victime d'une cyberattaque il y a à peine un mois, les abonnés Free Mobile et Freebox vont être exposés à un risque accru de cybermenaces dans les prochaines semaines. Les informations vendues par le cybercriminel vont sans doute être utilisées par des acteurs malveillants pour mener des attaques d'hameçonnage, afin de récupérer des accès à d'autres services numériques, et, dans le cadre d'arnaques financières comme l'escroquerie au faux conseiller bancaire, leur soutirer des données bancaires et de l'argent.

Les informations contractuelles peuvent aussi être recoupées à d'autres renseignements disponibles dans les cercles cybercriminels pour réaliser des attaques de SIM swapping. Munis d'un IBAN et des informations clients d'un abonné mobile, des escrocs peuvent tenter d'usurper son identité auprès de son opérateur pour transférer son numéro sur une autre carte SIM et prendre la main sur ses comptes en recevant les codes de récupération sur un autre appareil.

Dans cette situation, les experts recommandent de ne pas donner suite aux sollicitations par mail, SMS ou téléphone qui inciteraient à communiquer des informations personnelles. D'une manière générale, il est plus prudent de réaliser des démarches de façon proactive en se connectant directement aux services souhaités, sans intermédiaire. Cet événement est aussi l'occasion de vérifier que les comptes associés au numéro de téléphone exposé dans la fuite de données sont suffisamment bien protégés pour éviter un possible effet domino.

Pour une partie des clients, cette fuite de données pourrait également concerner les IBAN. Ce code standardisé utilisé pour identifier un compte bancaire à l'échelle nationale et internationale ne peut normalement pas être utilisé pour prélever de l'argent à une personne sans son autorisation. Mais des cybercriminels pourraient tenter d'adresser de faux mandats de prélèvement aux banques en usurpant la signature du titulaire du compte. En cas de prélèvement frauduleux, il est possible de faire une réclamation à une banque pendant 13 mois pour obtenir un remboursement. Autre risque, le détournement de paiement vers un compte contrôlé par un pirate, en demandant par exemple à une entreprise de changer le compte censé recevoir le salaire de la victime.

La rédaction vous recommande