Les clients de Free ET Free Mobile ont récemment reçu un e-mail de l’opérateur les informant d’un incident de sécurité. Beaucoup d’utilisateurs, pensant à une communication administrative classique, ont initialement ignoré le message, avant de réaliser qu’il faisait écho à une attaque présumée sur les systèmes de Free.
Si seul la partie téléphonie semblait touchée par cette attaque, il est apparu plus tard dans la soirée hier que les abonnés Freebox étaient également concernés.
Une réaction de sécurité de la part des utilisateurs
En réponse à cette alerte, certains clients ont immédiatement pris des mesures pour protéger leurs informations personnelles, changeant leurs mots de passe et vérifiant les données accessibles sur leurs comptes Free et Free Mobile. À la surprise de certains, les informations bancaires SEPA étaient visibles en clair sur le site de Free, bien que celles de Free Mobile apparaissaient partiellement masquées. Cette pratique suscite des interrogations, d’autant plus que les bonnes pratiques, notamment dans le secteur bancaire, imposent une anonymisation de telles données sensibles.
Les risques liés aux données exposées
Les informations potentiellement compromises incluent des éléments comme le nom, l’adresse, le numéro de contrat et le numéro de téléphone des utilisateurs. Ces données pourraient être exploitées dans des tentatives d’hameçonnage sophistiquées, où un cybercriminel pourrait se faire passer pour Free et tromper la vigilance des victimes. En obtenant le mot de passe du compte, le pirate pourrait avoir accès aux coordonnées bancaires complètes, ce qui ouvre la porte à de possibles transactions frauduleuses.
Un point particulièrement préoccupant est la possibilité pour un attaquant de télécharger le mandat de prélèvement SEPA, document pouvant être signé et réutilisé pour effectuer des achats en ligne frauduleux. Les cybercriminels disposent alors de suffisamment d’informations pour contourner certains dispositifs de sécurité.
Quelle réponse de la part de Free ?
Face à ces inquiétudes, Free a adressé des messages à ses abonnés Freebox et Free Mobile pour les informer de la situation. La société a également mis en place un canal de contact avec son délégué à la protection des données (DPO), mais la réponse officielle pourrait prendre jusqu’à trois mois, en raison de la surcharge de demandes.
Des sources mentionnent que l’attaque pourrait être liée à une application de gestion de Free Mobile, comme une application de CRM, de comptabilité client ou de gestion des contrats. Si les données ont été extraites directement de ces systèmes, l’impact pourrait inclure l’accès à l’intégralité des IBAN et autres informations bancaires.
Les risques d’utilisation frauduleuse de l’IBAN
Selon un article du Parisien, l’IBAN seul ne suffit généralement pas à effectuer des prélèvements, mais il devient potentiellement dangereux lorsqu’il est combiné à d’autres données personnelles (nom, numéro de téléphone, adresse). Bien que Free Mobile masque en partie l’IBAN, le site de Free expose en clair l’IBAN et le BIC des clients, augmentant ainsi les risques. La possibilité de télécharger le mandat de prélèvement SEPA accroît cette vulnérabilité, rendant la situation préoccupante.
Quelle suite pour les clients ?
Les utilisateurs concernés sont invités à surveiller leurs comptes bancaires de près et à rester vigilants face aux communications qui pourraient tenter de récupérer des informations supplémentaires. Certains envisagent de signaler cet incident à la CNIL et à l’ANSSI, notamment en raison de la visibilité des informations bancaires, ce qui pourrait enfreindre les normes de sécurité des données.
La cyberattaque subie par Free soulève des questions sur la politique de protection des données des opérateurs d’une manière générale. Les experts en cybersécurité appellent à un renforcement des pratiques de confidentialité et des mécanismes de sécurité, pour éviter que des informations sensibles ne tombent entre de mauvaises mains.
9 commentaires
Free aurait dû payer les 70 000 euros demandés pour protéger nos données des agences renseignement externes, surtout en temps de guerre.. Mieux vaut anticiper les risques d’usurpation d’identité et les attaques de surveillance ciblées qui pourraient arriver…
Attention, journalistes !
À tous les coups, des petits malins vont mettre l’IBAN des autres sur le site des impôts 😀 (À autorisation systématique )
Il est assez étonnant que les entreprises qui collectent et exploitent des données personnelles sensibles ne soient jamais tenues pour responsables d’une fuite de ces données. Le cas de Free est à ce titre révélateur de cette surprenante faille dans notre arsenal législatif. On remarquera que cela semble une évidence pour Free qui dans son courriel nous explique que c’est à nous de nous protéger contre les menaces qu’ils nous font courir et à l’état de nous en protéger. Autrement dit, ils n’y sont pour rien. Il est plus qu’évident que cette logique conduise ces sociétés et économiser sur la protection des données de leur clients dont le vol est sans conséquence pour eux.
J’appelle cette association à se porter partie civile et a engager une action collective contre Free pour un manquement manifeste à son obligation de protection de nos données personnelles. Il faut que ce genre de situation cesse et que ces sociétés comprennent que la protection des données de leur client n’est pas un luxe mais un devoir. Si vous pensez comme moi partager ce post.
Je plussoie à 100%. Il faut porter plainte contre free. Les données sensibles des clients doivent être au minimum cryptées. C’est un manque phénoménal de compétences et de prudence. Free doit rendre des comptes.
J ai reçu également un mail de Free.
Je n ai plus de compte à free depuis 1 an ,j ai fait un portage du numéro avec un autre opérateur, mes données bancaires auraient dû être en retrait ainsi que mon numéro de tel et coordonnées.
Free pas très sérieux quand on brasse des millions on doit être capable de protéger les données.
A cette heure je n’ai pas reçu de message de ta part de free ??
J’abonde dans le risque réel de fraude, j’en veux pour preuve celle dont j’ai été victime en Mai dernier; voici les faits:Un beau matin j’ai reçu par voie postale une carte sim. En même temps mon compte bancaire fut prélevé de son montant. Je n’avais pas commandé de carte ayant un seul téléphone mobile. L’intitulé sur le compte bancaire m’a fait penser au départ à une communication, puis en réfléchissant je me suis dit qu’alors devrait y figurer en cumul le montant de l’abonnement mensuel. Contacté immédiatement free me trimballât d’un conseiller à un autre avec promesse de remboursement; un mois plus tard je vis apparaitre sur mon compte bancaire le montant d’une première communication téléphonique en plus de ma facture mensuelle, après examen de mon compte et près de 4 mois de réclamations on a découvert qu’un employé du groupe avait créé de toutes pièces, une adresse mail bidon, un compte en 07 et ainsi fit des communications chaque mois! Au départ free eut le culot de ne me rembourser que le montant de la carte sim, c’est après les avoir menacés de poursuites que le reste de la note de près de 35 euros me fut crédité. La somme est ridicule, mais que ce serait-il passé si l’individu avait fait des communications téléphoniques vers des pays donnant lieu à facturation? Free m’a dit que c’est un de leurs employés qui fut responsable de la fraude et licencié. Y a-t-il des poursuites engagées, je n’en sais rien et même si je le pouvais je ne m’embarquerai pour un pareil montant dans des frais d’un procès par personne interposé, free en l’occurence, puisque je ne connais pas l’état civil du coupable.
Visiblement non seulement le site de free semble mal protégé, mais en interne les contrôles des collaborateurs me paraissent quelque peu léger dans un secteur aussi sensible.
Pour ma part j’ai changé tous mes mots de passe, prévenu ma banque qui prend l’affaire au sérieux.
Bonjour,
J’ai informé FREE hier sur leur « 08… » que le mandat SEPA pour la freebox n’était toujours pas flouté dans sa dernière partie…à l’instar de FreeMobile.
Free semblait découvrir 8 jours après, la continuité de cette faille !
La personne me dit qu’il va faire remonter l’info
Lamentable, on attend un énième hacker sur la passoire Free.
Si nous étions patron, Niel serait virait…
Mais le seul client qui compte pour cette boîte et tant d’autres…c’est le client chez le concurrent…!
J’attends toujours la réponse commercial de free pour s’excuser de leur lacune en matière de protection des données de ces clients.