Les abonnés de Free peuvent enfin respirer, en partie. Après la récente fuite de données personnelles de 19 millions d’abonnés et de 5 millions d’IBAN, un hacker impliqué dans l’affaire affirme que ces données n’ont finalement pas été vendues, malgré les annonces initiales de revente. Ce rebondissement apporte un éclairage inattendu sur cette attaque cybernétique d’une ampleur inédite, qui a soulevé de vives inquiétudes.
Retour sur les faits
Tout commence avec l’annonce par Free d’un piratage de grande envergure, exposant les données personnelles de ses abonnés. Parmi ces informations figurent des noms, adresses, numéros de téléphone et pour cinq millions d’abonnés, des coordonnées bancaires (IBAN). Un premier hacker, connu sous le pseudonyme de « drussellx », a revendiqué l’attaque, affirmant avoir vendu l’ensemble de la base de données pour 175 000 dollars (environ 160 000 euros) à une tierce partie. Cette déclaration a aussitôt déclenché des inquiétudes quant à la sécurité et la confidentialité des données sensibles des abonnés.
Cependant, un second acteur, identifié sous le pseudonyme « YuroSh », a récemment pris la parole pour démentir ces affirmations. Selon des informations publiées par le site spécialisé DataBreaches, « YuroSh » affirme que les données n’ont jamais été vendues, contrairement aux dires de « drussellx ». Selon lui, l’attaque visait davantage à attirer l’attention sur les failles de sécurité de Free qu’à générer un profit immédiat.
Un objectif au-delà du profit
D’après « YuroSh », l’objectif n’était pas financier mais visait à mettre Free sous pression pour améliorer la sécurité de ses infrastructures. Contrairement à « drussellx », qui envisageait une extorsion, « YuroSh » affirme être animé par des préoccupations de transparence et de protection de la vie privée. Selon ses déclarations à DataBreaches, l’intention était de démontrer les faiblesses de Free en matière de cybersécurité, tout en évitant de nuire aux abonnés en diffusant leurs informations personnelles.
DataBreaches a confirmé que « YuroSh » leur a transmis des preuves de son implication, notamment des informations personnelles sur Xavier Niel, PDG de Free. Ce geste était destiné à démontrer sa légitimité dans cette affaire et à rétablir la vérité concernant les données volées.
Confirmation des rôles et des intentions
DataBreaches également contacté « drussellx » pour vérifier les propos de « YuroSh ». Le premier hacker a confirmé l’implication de « YuroSh » dans le piratage et le fait que les données n’ont jamais été mises aux enchères ou vendues, ni aujourd’hui, ni à l’avenir. Ce dernier affirme avoir aidé à exploiter une vulnérabilité identifiée, mais nie toute implication dans une éventuelle commercialisation de la base de données.
Les deux hackers auraient tenté, à plusieurs reprises, de signaler des failles de sécurité à Free. Selon les déclarations de « YuroSh », ils n’auraient jamais reçu de réponse satisfaisante à ses yeux de la part de l’entreprise. Un manque de réactivité de la part de Free selon lui d’autant plus frappant dans un contexte où, en 2022, l’opérateur avait déjà été sanctionné par la CNIL. Free avait alors écopé d’une amende de 300 000 euros pour des manquements en matière de protection des données personnelles.
La réponse de Free et la confiance des abonnés en jeu
Jusqu’à présent, Free n’a pas, et c’est légitime, commenté les récentes révélations de « YuroSh ». L’opérateur comme l’ensemble de ses concurrents d’ailleurs, devra néanmoins rassurer ses clients en expliquant les mesures prises pour combler les failles révélées par cette attaque. Un renforcement de la sécurité et une transparence accrue semblent désormais impératifs pour Free s’il conserver la confiance de ses abonnés.
Cette fuite si elle existe et est massive, rappelle que les entreprises manipulant de grandes quantités de données personnelles se doivent d’investir massivement dans la cybersécurité. Avec cette attaque, Free se retrouve face à un double défi : protéger ses abonnés et restaurer la crédibilité de sa politique de protection des données. La surveillance et la vigilance autour de la gestion des données personnelles sont plus que jamais d’actualité, et la communauté des abonnés Free suit de près les prochaines décisions de l’opérateur.