Free a été victime d’une fuite de données. Comme l’a confirmé l’opérateur, un pirate est parvenu à pénétrer au sein d’un de ses outils de gestion pour exfiltrer une montagne de données personnelles sur ses abonnés.
Quelques jours après la fuite, un cybercriminel a mis en vente la base de données, qui comprend 19 192 948 de comptes clients, sur un marché noir. Plus récemment, le pirate a diffusé gratuitement un échantillon de 100 000 IBAN appartenant à la clientèle de Free sur BreachForums, une plaque tournante des données compromises.
À lire aussi : Une fuite de données touche l’un des plus grands gestionnaires d’actifs au monde
Plus de 5 millions d’adresses IBAN piratées
Dans la publication, que 01Net a pu consulter, le hacker affirme avoir « une sacrée envie de foutre le bordel », en référence au dernier livre de Xavier Niel, fondateur de Free. Le cybercriminel, qui se fait appeler drussellx, prétend détenir plus de cinq millions d’adresses IBAN relatives aux abonnés Free.
Avec cet échantillon, le pirate cherche à faire la publicité pour le répertoire mis en vente la semaine dernière. Il ajoute d’ailleurs qu’une « copie des données est sur le point d’être vendue pour plus de 70 000 $ », et invite Free à négocier :
« Si l’entreprise ne participe pas à cette enchère unique dans les jours à venir, cette copie des données sera vendue, ce qui entraînera de graves conséquences pour les clients et sera probablement divulguée publiquement sur les forums dans un avenir proche ».
Le pirate réagit au mail de Free
De l’avis du chercheur en cybersécurité Clément Domingo, « cette nouvelle publication est certainement en réaction avec le mail de Free, probablement qu’il a trouvé laxiste… et qui ne mentionnait guère la compromission des IBAN ». Free s’est en effet bien gardé de prévenir ses abonnés du vol des adresses bancaires dans son mail.
« Depuis leur dernier communiqué de presse, ils n’ont pas été en mesure de confirmer que ceux-ci ont également été compromis, à moins qu’il ne s’agisse d’une stratégie de communication pour ne pas effrayer les clients », tacle le pirate à l’origine du hack sur BreachForums.
🚨🔴CYBERALERT, 🇫🇷FRANCE 🔴 | Cyberattaque Free, 100 000 IBAN diffusés gratuitement sur le "Amazon de la cybercriminalité" par le même cybercriminel français
La nuit dernière à 4h30 du matin, le cybercriminel à l'origine de la cyberattaque de Free à diffusé un échantillon de 100… pic.twitter.com/qPzE0Yq5bn
— SaxX ¯_(ツ)_/¯ (@_SaxX_) October 27, 2024
Peu après la mise en ligne de l’échantillon, l’opérateur de Xavier Niel a cependant pris la peine d’officialiser le vol des comptes IBAN dans une seconde communication par mail. Le groupe a corrigé le tir en ajoutant simplement la mention IBAN à la longue liste des données exfiltrées.
Le danger des IBAN compromis
La fuite des IBAN fait peser de lourdes menaces sur les clients de Free. Dans une réaction adressée à 01Net, Marijus Briedis, chef de la technologie de NordVPN, souligne que l’IBAN (International Bank Account Number), le numéro international qui permet d’identifier un compte bancaire, peut servir de point de départ à une panoplie d’escroqueries :
« Les IBAN associés aux identifiants abonnés et données contractuelles pourront faciliter une arnaque aux faux conseillers. Ces derniers pourraient prétexter un problème de prélèvement et demander un paiement immédiat par carte bancaire par téléphone ou email ».
Pire, les pirates peuvent aussi directement prélever de l’argent sur votre compte bancaire. En effet, « avec un IBAN et des données personnelles précises, on peut également lancer des ordres de prélèvements ». En clair, les cybercriminels peuvent se faire passer pour vous et demander à votre banque l’autorisation de débiter votre compte.
Pour rappel, Free a averti les autorités compétentes peu après l’intrusion dans ses systèmes. Le trublion des télécoms indique que la Commission nationale de l’informatique et des libertés (CNIL), l’Agence nationale de la sécurité des systèmes d’information (ANSSI) et le procureur de la République ont été saisis.
Pour Clément Domingo, il s’agit du « plus gros hack d’un opérateur de téléphonie en France », devant le piratage de SFR et la précédente brèche d’informations essuyée par Free. En miroir de Free et SFR, de nombreuses entreprises françaises se sont retrouvées assaillies par les cybercriminels au cours des derniers mois. Au troisième trimestre 2024, les vols de données se sont même accélérés avec 17,2 millions de comptes piratés. Pour Clément Domingo, ce sont les données de huit Français sur dix qui se baladent sur des marchés noirs, à la merci des cybercriminels…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Bande d’incapables, la moindre des choses est de chiffrer nos données les plus sensibles. À défaut de chiffrer nos noms/prénoms, faites le au moins pour nos coordonnées bancaires, merde. On en a ras-le-bol de toutes ces fuites et tous ces éditeurs de sites qui ne prennent pas la sécurité au sérieux, ils vont encore nous faire croire tout leur bullshit “blablabla, nous prenons la sécurité de nos abonnés et au sérieux, et blablabla tout est mis en œuvre…blablabla” ! Les abonnés devraient se réserver le droit de porter plainte contre Free.
Je suis moi aussi toujours surpris de voir que “des outils de gestion” soient aussi facilement consultables. Séparation des machines, codages, filtres ne sont quand même pas faits pour les chiens. Finalement compte tenu de la médiocrité des services proposés, c’est facile d’être le moins cher.
1- Le hacker affirme avoir « une sacrée envie de foutre le bordel », en référence au dernier livre de Xavier Niel, fondateur de Free. Il a surtout envie de gloire et de pognon.
2- Pour ce qui est des IBANs. Un opérateur de la hot-line de Free dédiée à la cyberattaque m’indique à l’instant que la raison qui explique que certains clients n’ont reçu que le premier courriel indiquant l’attaque et ce qu’elle impliquait mais pas le second lequel mentionne explicitement les IBANs, est que cette seconde n’est adressée qu’aux clients concernés par le vol avéré de l’IBAN en sus des autres données: faut-il comprendre que le pirate n’aurait pas mis sur autant d’IBANs que de données clients autres ? Il m’indique une équipe en effervescence (on le conçoit aisément) et m’assure que ceux d’entre-nous concernés par leur IBAN seront aussitôt avertis par FREE (second courriel) ; il me confirme en outre que les mots de passe ne sont pas concernés : ainsi, avec la 2FA, l’intrusion dans le compte FREE n’est pas en jeu. Reste l’IBAN, et ça c’est, comme l’indique l’article, autrement embêtant. À suivre.