Les clients de Free ET Free Mobile ont récemment reçu un e-mail de l’opérateur les informant d’un incident de sécurité. Beaucoup d’utilisateurs, pensant à une communication administrative classique, ont initialement ignoré le message, avant de réaliser qu’il faisait écho à une attaque présumée sur les systèmes de Free.
Si seul la partie téléphonie semblait touchée par cette attaque, il est apparu plus tard dans la soirée hier que les abonnés Freebox étaient également concernés.
Une réaction de sécurité de la part des utilisateurs
En réponse à cette alerte, certains clients ont immédiatement pris des mesures pour protéger leurs informations personnelles, changeant leurs mots de passe et vérifiant les données accessibles sur leurs comptes Free et Free Mobile. À la surprise de certains, les informations bancaires SEPA étaient visibles en clair sur le site de Free, bien que celles de Free Mobile apparaissaient partiellement masquées. Cette pratique suscite des interrogations, d’autant plus que les bonnes pratiques, notamment dans le secteur bancaire, imposent une anonymisation de telles données sensibles.
Les risques liés aux données exposées
Les informations potentiellement compromises incluent des éléments comme le nom, l’adresse, le numéro de contrat et le numéro de téléphone des utilisateurs. Ces données pourraient être exploitées dans des tentatives d’hameçonnage sophistiquées, où un cybercriminel pourrait se faire passer pour Free et tromper la vigilance des victimes. En obtenant le mot de passe du compte, le pirate pourrait avoir accès aux coordonnées bancaires complètes, ce qui ouvre la porte à de possibles transactions frauduleuses.
Un point particulièrement préoccupant est la possibilité pour un attaquant de télécharger le mandat de prélèvement SEPA, document pouvant être signé et réutilisé pour effectuer des achats en ligne frauduleux. Les cybercriminels disposent alors de suffisamment d’informations pour contourner certains dispositifs de sécurité.
Quelle réponse de la part de Free ?
Face à ces inquiétudes, Free a adressé des messages à ses abonnés Freebox et Free Mobile pour les informer de la situation. La société a également mis en place un canal de contact avec son délégué à la protection des données (DPO), mais la réponse officielle pourrait prendre jusqu’à trois mois, en raison de la surcharge de demandes.
Des sources mentionnent que l’attaque pourrait être liée à une application de gestion de Free Mobile, comme une application de CRM, de comptabilité client ou de gestion des contrats. Si les données ont été extraites directement de ces systèmes, l’impact pourrait inclure l’accès à l’intégralité des IBAN et autres informations bancaires.
Les risques d’utilisation frauduleuse de l’IBAN
Selon un article du Parisien, l’IBAN seul ne suffit généralement pas à effectuer des prélèvements, mais il devient potentiellement dangereux lorsqu’il est combiné à d’autres données personnelles (nom, numéro de téléphone, adresse). Bien que Free Mobile masque en partie l’IBAN, le site de Free expose en clair l’IBAN et le BIC des clients, augmentant ainsi les risques. La possibilité de télécharger le mandat de prélèvement SEPA accroît cette vulnérabilité, rendant la situation préoccupante.
Quelle suite pour les clients ?
Les utilisateurs concernés sont invités à surveiller leurs comptes bancaires de près et à rester vigilants face aux communications qui pourraient tenter de récupérer des informations supplémentaires. Certains envisagent de signaler cet incident à la CNIL et à l’ANSSI, notamment en raison de la visibilité des informations bancaires, ce qui pourrait enfreindre les normes de sécurité des données.
La cyberattaque subie par Free soulève des questions sur la politique de protection des données des opérateurs d’une manière générale. Les experts en cybersécurité appellent à un renforcement des pratiques de confidentialité et des mécanismes de sécurité, pour éviter que des informations sensibles ne tombent entre de mauvaises mains.