« Cette attaque a entraîné un accès non autorisé à une partie des données personnelles associées à votre compte abonné : nom, prénom, adresses e-mail et postale, numéro de téléphone, identifiant abonné, IBAN et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non). » Dans un mail envoyé à ses abonnés ce lundi matin, Free, deuxième opérateur de téléphonie en France, confirme avoir été « victime d’une cyberattaque ciblant un outil de gestion ». La rumeur courait depuis lundi dernier, sachant qu’un pirate informatique aurait mis en vente les données personnelles de 19 millions de clients Free sur le Dark Web. Et pas que. 20 Minutes fait le point.
Que s’est-il passé ?
Free a été « victime d’une cyberattaque ciblant un outil de gestion » entraînant « un accès non autorisé à une partie des données personnelles associées aux comptes de certains abonnés », a confirmé ce samedi le deuxième opérateur de téléphonie en France dans un communiqué. « Aucun impact opérationnel n’a été constaté sur (ses) activités et (ses) services », a ajouté Free, qui ne précise ni la date ni l’ampleur de l’attaque.
Depuis, les données personnelles de 19,2 millions de clients Free et les coordonnées bancaires de plus de cinq millions d’entre eux seraient en vente sur le Dark Web. Cette révélation a été faite sur X par le hacker éthique et expert en cybersécurité SaxX. Une révélation repérée la semaine dernière par le site Presse-Citron. Clément Domingo, aka SaxX, y assurait également que l’attaque avait été revendiquée par un cybercriminel et avait eu lieu ce 17 octobre.
Quelles sont les données concernées par cette attaque ?
Dans le détail, le cybercriminel à l’origine de l’attaque proposerait un premier fichier de plus de 43 gigaoctets qui comprendrait les noms, prénoms, adresses postales, numéros de téléphone, e-mails et même les identifiants Freebox des clients. Le pirate informatique affirme également avoir mis la main sur les coordonnées bancaires (Iban) de plus de 5,11 millions d’abonnés. Ces dernières seraient contenues dans un second fichier.
« Aucun mot de passe », « aucune carte bancaire », « aucun contenu des communications (e-mails, SMS, messages vocaux, etc.) » ne sont touchés, a assuré, pour sa part, l’entreprise ce samedi.
Comment les abonnés vont-ils savoir s’ils sont concernés ?
« Les abonnés concernés ont été ou seront informés par e-mail d’ici peu », avait fait savoir samedi l’opérateur. Et, ce lundi matin, dans un mail envoyé à ses abonnés, Free assure à ses clients : « Aucun de vos mots de passe n’est concerné. » « Toutes les mesures nécessaires ont été prises immédiatement pour mettre fin à cette attaque et renforcer la protection de nos systèmes d’information », avance encore l’opérateur.
« Nous vous invitons à la plus grande vigilance face au risque d’e-mail, SMS ou appels frauduleux. Sachez que nos conseillers ne vous demanderont jamais vos mots de passe à l’oral », prévient encore Free, qui dit « regretter sincèrement cette atteinte à la confidentialité » des informations de ses abonnés.
« Nous vous invitons à la plus grande vigilance face au risque d’e-mails, SMS ou appels frauduleux. Sachez que nos conseillers ne vous demanderont jamais vos mots de passe à l’oral », conseille encore l’opérateur. Et de donner un numéro vert (0 805921100) et le mail du service officiel d’assistance aux victimes numériques www.cybermalveillance.gouv.fr.
Selon le hacker éthique SaxX, il est difficile de savoir s’il s’agit d’un bluff destiné à faire pression sur l’opérateur ou si les données ont bien été dérobées. Dans le doute, il est recommandé aux clients Free de changer leurs codes d’accès, d’utiliser un gestionnaire de mots de passe et d’activer l’authentification à double facteur. S’ils sont bien victimes d’hameçonnage, ils devront également se montrer vigilants face à tout lien suspect reçu par mail ou par SMS.
Enfin, il est conseillé de vérifier fréquemment ses comptes bancaires afin de détecter rapidement une transaction inhabituelle.
Où en est l’enquête ?
« Une plainte pénale a été déposée auprès du Procureur de la République », indiquait Free samedi, après une enquête interne de plusieurs jours. La Commission nationale de l’informatique et des libertés (Cnil) et à l’Agence nationale de la sécurité des systèmes d’information (Anssi) ont été notifiées, comme le prévoit la loi.
« Une plainte pénale a également été déposée auprès du procureur de la République. L’auteur de ce délit s’expose à une peine de cinq ans d’emprisonnement et de 150.000 euros d’amende », assure ce lundi l’opérateur dans son mail envoyé à ses abonnés. Pour l’heure, aucun prix n’a été annoncé par un quelconque pirate même si, toujours selon Presse-Citron et RTL, le malfaiteur a annoncé vouloir vendre ces fichiers via un « accord escrow », une méthode faisant intervenir un tiers de confiance du Dark Web pour garantir que la transaction se déroule sans accroc.
Leave a Comment