Au cours de la cyberattaque qui a frappé Free, une montagne de données personnelles sur les abonnés a été compromise. L’attaquant s’est notamment emparé des noms, des adresses mail, postales et des numéros de téléphone de près de 20 millions de clients.
Pire, le cybercriminel a mis la main sur les coordonnées bancaires des abonnés Free. De l’aveu de Free, les numéros IBAN (International Bank Account Number) ont été siphonnés au cours de l’intrusion. Le pirate indique détenir un total de 5,11 millions de numéros IBAN. Pour prouver ses dires, il a mis en ligne un échantillon de 100 000 numéros de compte sur BreachForums, une plateforme très prisée par les criminels en quête de données compromises. Entre les mains des pirates, ce numéro bancaire fait peser de sérieuses menaces sur les abonnés Free concernés.
À lire aussi : que faire si vos données ont été piratées lors du hack de Free ?
C’est quoi l’IBAN ?
Comme l’explique la Banque de France sur son site web, l’IBAN est « l’identifiant international de votre compte bancaire auprès d’une institution financière dans un pays donné ». Le numéro bancaire est indispensable « pour réaliser toutes les transactions SEPA, telles qu’un prélèvement ou un virement SEPA, ainsi que pour réaliser des transactions internationales », ajoute la Banque de France.
Créé dans les années 1990, l’IBAN a été conçu pour faciliter et sécuriser les transactions financières entre les pays de l’Union européenne. La norme bancaire a rapidement été adoptée par des pays situés en dehors de l’Europe. C’est ce précieux numéro qui permet aux créanciers de débiter de l’argent sur un compte bancaire, pour un abonnement téléphonique, la location d’une voiture en leasing ou encore le règlement d’un prêt. Il permet aussi à votre employeur de verser votre salaire.
Des prélèvements frauduleux et des abonnements indésirables
En revanche, l’IBAN seul ne suffit pas pour siphonner tout l’argent de votre compte bancaire. Il n’est pas possible de prélever de l’argent sur votre compte uniquement avec votre numéro IBAN. Pour arriver à leurs fins, les pirates vont avoir besoin d’une panoplie d’autres informations… comme celles compromises lors de la cyberattaque contre Free. Ces informations peuvent permettre de réaliser un mandat SEPA, qui aboutira sur un transfert d’argent.
Combiné à d’autres informations, le compte IBAN peut aboutir à des prélèvements frauduleux sur votre compte. Les escrocs ont besoin de l’identité, du numéro de téléphone, ou encore d’autres données bancaires, comme le code BIC, qui permet d’identifier les banques à l’international. Ce code est particulièrement facile à trouver. Il est en effet publiquement disponible sur la toile pour toutes les banques. Avec ces données, et une fausse signature, les escrocs peuvent réaliser des mandats SEPA à votre insu.
Notez que votre signature peut également faire partie des données compromises en possession des pirates. En effet, celle-ci est visible sur votre carte d’identité. Bien souvent, des répertoires de cartes d’identité volées finissent sur des marchés noirs. Récemment, Damien Bancal, chercheur en sécurité du blog Zataz, a d’ailleurs découvert une base de 15 000 cartes d’identité appartenant à des Français en enquêtant sur des marchés criminels. Comme vous le voyez, il n’y aucune donnée nécessaire à un mandat SEPA qui échappe aux cybercriminels. En théorie, ceux-ci peuvent mettre la main sur tout ce dont ils ont besoin pour réaliser des transferts.
L’an dernier, le site communautaire Signal-Arnaques a d’ailleurs repéré des prélèvements frauduleux, de plusieurs centaines d’euros, sur les comptes de victimes.
300, 400, 500€… des prélèvements non autorisés arrivent en masse sur les comptes de nombreux témoins ! 😱😱😱
Voici comment réagir pour tout faire rentrer dans l'ordre si ça vous est arrivé. ✊⏬— Signal-Arnaques (@SignalArnaques) April 25, 2023
En exploitant l’IBAN et d’autres données personnelles, les hackers peuvent aussi vous abonner à des services à votre insu. Dans ce cas de figure, c’est la victime qui va payer l’abonnement souscrit par le hacker. Les pirates peuvent aussi vous abonner à leurs propres services payants, aussi inutiles que frauduleux, ce qui leur permet de gagner rapidement de l’argent à vos dépens.
Par le passé, on a également vu des pirates souscrire à des produits financiers, comme des prêts, en usurpant l’identité d’un individu. Pour ces demandes de prêt frauduleuses auprès d’une banque, le cybercriminel s’appuie sur des données comme l’IBAN. Parmi les informations requises, on trouve aussi le justificatif de domicile. Là encore, il est très aisé d’en trouver un sur des marchés noirs. Un justificatif peut prendre la forme d’une facture d’électricité, de gaz, de téléphonie fixe ou d’un avis d’imposition. Ces documents peuvent être volés lors du piratage d’une boite mail par exemple. Sur le dark web, on trouve une foule de justificatifs volés. Vous l’aurez compris : rien n’arrête les cybercriminels.
Les risques de phishing
Plus globalement, l’IBAN peut faire partie des données personnelles utilisées pour piéger les abonnés. En mettant en avant votre numéro bancaire, les cybercriminels peuvent chercher à vous convaincre de réaliser un paiement en ligne ou de communiquer vos identifiants bancaires.
Pour parvenir à leurs fins, les attaquants peuvent par exemple se faire passer pour un membre du personnel de l’assistance client de Free. C’est l’une des tactiques les plus répandues dans le milieu criminel. Free admet d’ailleurs s’attendre à une résurgence de ce type d’attaques dans un avenir proche à la suite de la fuite des données.
Que faire si votre IBAN a été piraté ?
Tout d’abord, on vous conseille de garder un œil sur votre compte bancaire. Surveillez régulièrement toutes les activités enregistrées par votre compte. Si vous ne reconnaissez pas un paiement, prenez contact dans l’urgence avec votre banque.
En effet, la banque est tenue de vous rembourser si vous avez été victime d’un prélèvement frauduleux. C’est ce que stipule la législation française. La banque doit alors vous rembourser dans un délai d’un jour, sans attendre les conclusions d’une éventuelle enquête. Les investigations doivent se dérouler dans un second temps.
« Si vous n’avez pas autorisé quelque chose, la loi vous protège : c’est à la banque de prouver que vous avez donné votre accord », explique Signal-Arnaques sur X.
Cependant, vous devez impérativement signaler la moindre activité suspecte dans un délai de treize mois après les faits. Si vous remarquez la transaction au-delà du délai imparti, vous ne pouvez pas prétendre à un remboursement. Vous pouvez contourner cette restriction si la banque n’a « pas fourni ou n’a pas mis à disposition les informations relatives à cette opération de paiement », mais c’est peu probable. C’est ce que stipule le code monétaire et financier. C’est pourquoi on insiste sur la surveillance de vos comptes et de vos cartes de crédit. La vérification quotidienne de vos paiements ne prend pas plus de cinq minutes, et elle peut vous permettre d’éviter de passer à côté d’une fraude.
Les banques peuvent théoriquement échapper à leurs obligations en prouvant que la victime a fait preuve d’une négligence grave. En clair, la victime doit avoir fourni de son plein gré des éléments sensibles, comme un code d’authentification, pour que la justice estime qu’une négligence est à l’origine de l’attaque.
Si la banque choisit de se défendre, elle doit pouvoir monter un dossier pour prouver que l’usager a été négligent en l’espace de 24 heures. Dans la mesure où l’organisme bancaire ne monte pas ce dossier dans les temps impartis, le remboursement intégral reste de mise. Là encore, la banque n’a pas le droit d’imposer un délai au remboursement, relate Presse-Citron.
Par ailleurs, on vous recommande de mettre en place une liste blanche des créanciers autorisés à débiter votre compte. Seules les entités de cette liste pourront réaliser des mandats SEPA par le biais de votre compte. Si un pirate tente de ponctionner votre compte, il se retrouvera bloqué. Évidemment, vous devrez mettre à jour cette liste manuellement à chaque mandat d’un nouveau créancier. Vous pouvez aussi demander à votre banque d’exiger une validation par le biais de votre application mobile à chaque nouveau mandat de prélèvement.
Avec ces précautions, vous devriez pouvoir éviter que votre compte bancaire soit siphonné par les cybercriminels qui vont investir dans la base de données volées à Free. Le pirate à l’origine du hack a en effet mis les informations en vente aux enchères sur un marché noir. Elles ne devraient pas tarder à tomber entre de mauvaises mains…
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
Voila qui est complet, clair et net.
Peut-être faire état de mon expérience et de que j’ai cru comprendre, outre ce qui est parfaitement décrit ici.
1- Nous savons que, dans un premier temps du moins, 2 courriels ont été envoyés par Free à ses clients. Le premier signifiait la cyberattaque et le vol de données sans y spécifier le vol d’IBANs, le second faisait clairement état des IBANs. N’ayant reçu pour ma part que le premier courriel, j’avais alors téléphoné à la hotline Free dédiée à cette cyberattaque pour demander pourquoi je n’avais pas reçu le second courriel précisant explicitement l’IBAN : la réponse fut que le second courriel n’aura été envoyé qu’aux clients concernés par le siphonnage de leur IBAN. Comment Free pouvait-il faire le distinguo ? Peut-être en rapport avec ma deuxième remarque, alors que je n’ai qu’un compte Free Mobile et que le technicien de la hotline le savait :
2- Il me semble — je dis bien : il me semble — qu’il y a chez Free une séparation entre la gestion des comptes mobile et celle des comptes Internet et que le vol des IBANs ne concerne que les comptes Internet. Je suis amené ce faisant à envisager que les détenteurs d’un compte Free Mobile à l’exclusion d’un compte Internet ne sont pas concernés par le vol de l’identité IBAN.
–
Sous toutes réserves. Quoi qu’il en soit mercis à 01Net ainsi qu’au site partenaire Presse-Citron pour leur suivi de cette sala affaire.
Bonjour Yves,
Certaines personnes ont reçu deux courriels tout simplement car ils ont un compte pour la ligne fixe c’est un compte pour la ligne mobile, seul la ligne fixe est concerné par le vol de l’IBAN.
Si vous n’avez qu’un abonnement mobile, il est fort probable que votre IBAN ne soit pas inquiété.
Bonne fin de journée
Bonjour James,
J’en suis arrivé à la même conclusion que vous, encore que je n’en étais pas absolument convaincue. Merci pour votre commentaire qui confirmerait le tout.
Ceci étant il me semble que Free, bien qu’ayant mis en place une hotline dédiée à cette cyberattaque, aurait pu — pourrait être — plus explicite dans le détail des tenants et aboutissants de cet incident somme toute majeur.
J’ai reçu 2 mails (aucun ne faisant mention de l’IBAN) mais je n’ai qu’une ligne mobile, pas de fixe, pas de freebox.
Merci pour cet article détaillé mais quid de la responsabilité de Free ? Cette société assumera-t-elle sa faute si une fraude en résultait ?
Voilà qui n’est pas complet, pas clair et pas net de la part de Free. J’ai 2 abonnements fibre et j’ai donc reçu 2 emails.
Le 1er spécifie :
” nom, prénom, adresses email et postale, date et lieu de naissance, numéro de téléphone, identifiant abonné et données contractuelles ”
Le 2eme spécifie :
“nom, prénom, adresses email et postale, numéro de téléphone, identifiant abonné, IBAN et données contractuelles”
Que dois-je en conclure ? Que l’IBAN n’a pas été volé sur le 1er abonnement mais volé sur le 2eme ?
Les 2 emails sont strictement identiques à l’exception du mot IBAN présent sur le 2eme mail.
Free dilue le vol de cette information alors qu’elle devrait être mise en exergue. C’est à Free de me dire ce qu’il faut faire et pas à 01net (que je remercie au passage pour leur article complet et utile). Et franchement conclure le mail par “on a renforcé la sécurité…”.
@digital, j’imagine que vous avez reçu 2 emails de la part de Free non pas parce que vous avez deux abonnements mais parce que l’un est un abonnement Internet. Seuls les détenteurs d’un compte Internet seraient concernés par l’IBAN et Free n’aurait précisé l’IBAN qu’une fois forcé à la suite de la divulgation de 100 000 d’entre eux par le pirate.
Ceci étant, spéculations, car enfin et en effet, Free communique mal sur cet incident majeur.
–
> ” Que dois-je en conclure ? Que l’IBAN n’a pas été volé sur le 1er abonnement mais volé sur le 2eme ?”
Peut-être tout simplement que l’IBAN n’a été volé, ou n’a pu être volé que dans les bases de données des abonnements Internet.
La supposition est que les clients d’un compte Free Mobile seulement ne seraient pas concernés par le vol IBAN et qu’eux seuls par conséquent n’auraient pas reçus le second email. C’est une supposition, comme vous j’essaie de comprendre la démarche de Free.
–
> “Free dilue le vol de cette information alors qu’elle devrait être mise en exergue. C’est à Free de me dire ce qu’il faut faire”.
Remarquez bien que Free a mis en place une hotline dédiée à la cyberattaque dont le numéro d’appel gratuit figure sur les emails envoyés.
Lors de mon appel à cette hotline ils m’ont prodigué sensiblement les mêmes conseils de précautions mais de manière bien moins approfondie.
J’ai recherché à l’instant la disponibilité d’informations sur les pages de l’Assistance Free et n’ai trouvé que ceci sur assistance(.)free.fr/articles/1611 :
“Si votre compte Free est concerné, vous avez reçu ou allez recevoir très rapidement un email de la part de Free avec toutes les informations à connaitre.”
–
Force oblige de faire dans la sémantique : “Si votre compte Free est concerné (…)” laisserait supposer que tous les comptes ne sont pas concernés (ce que l’on pouvait aisément imaginer) mais surtout que Free sait lesquels de ces comptes sont concernés…. ou alors c’est du simple bavardage d’apaisement. Cela reste quelque peu flou pour un incident de cette ampleur.
J’ai reçu les 2 emails, cela montre le manque totale de professionnalisme de ceux qui:
– développe les logiciels
– assure la sécurité des données
l’état nous mets le couteau sous la gorge en permanence avec l’obligation d’utiliser internet pour tout…. Pauvre France!, Pauvre république !
Et oui, seule la relation humaine permets d’éviter tout cela, mais bon, cela semble trop complexe à comprendre pour nos “élites”, nos “Mozart” de la finance et de l’administration.
Pourquoi les banques ne mettent elles pas un système sécurisé avec un code envoyé par sms pour toute transaction ??? (comme avec la carte bleu)
Aucune sécurité chez Free, je pense que je vais en partir et très vite.
Après avoir reçu un premier mail m’informant de cette cyber-attaque, j’en reçois un second m’informant que certains IBAN ont été volés. Après vérification, mon IBAN apparait en clair sur mon compte (l’IBAN est généralement cripté).
Free en plus d’avoir des failles qui peuvent aboutir sur une usurpation d’identité, se permet de ne pas sécuriser suffisamment les données bancaires.
Bien entendu aucune compensation financière, malgré un préjudice moral dans un premier temps et peut-être plus…
Bonjour,
Quitter Free ne changera malheureusement pas les choses.
Je suis un ancien client Free, j’ai resilié mon abonnement, il y a plusieurs années, aussi j’ai été fort surpris
de recevoir les deux mails de Free.
Je me suis donc connecté avec mes anciens identifiants …et bingo!
mon compte existe toujours…. avec la mention “résilié” certes, mais l’email est toujours valide, l’identité,
l’adresse postale, l’IBAN rien n’a été effacé.
Bravo la sécurisation des données..
ceux qui ont 2, 3 ou 10 comptes (que ce soit internet ou mobile) il suffit d’un seul où l’iban est compromis pour être en situation dangereuse.
Du coup ca ne nous rassure pas que les autres comptes ne sont pas concernés.
Exemple: j’ai un compte internet et un compte mobile, pour chacun d’eux j’ai recu le 1er mail et pour l’un des deux seulement j’ai reçu le mail iban. Juste à cause de celui là je suis dans la merde comme les 5 millions de concernés.
.
Après l’article dit quils ne peuvent rien faire sans les autorisations de prélèvement.
Alors ça ca reste à prouver.
Les banques laissent bien passer des chèques avec une autre signature que la votre, alors j’imagine que des paiments en ligne en grande quantité ne permettent pas aux employés de la banque de vérifier si chaque paiement a bien une correspondance sur une feuille avec la case à cochée “j’autorise le prélèvement”.
Cette autorisation n’est pas informatique…
Etant donné que Boursorama prévient plusieurs jours à l’avance dès qu’un nouveau créancier s’apprêtent à prélever sur notre compte en indiquant son nom il est assez facile d’aller le rejeter avant même qu’il ait eu lieu.
Le vrai problème est que ça fait des années qu’aucune banque ne vérifie qu’elle a bien reçu le mandat SEPA signé par le titulaire du compte pour autoriser les prélévements. Le fameux petit papier qu’on ne signe jamais et qu’on envoie jamais à sa banque quand on souscrit à une offre et pourtant on est bien débité tout les mois.
Bonjour,
J’ai contacté téléphoniquement ma banque pour lui suggérer la mise en place d’une liste blanche. Le conseiller m’a répondu que cela n’était pas possible, trop compliqué. Il m’a rassuré et m’a proposé de
contrôler mes comptes le plus souvent possible et qu’en cas de retrait frauduleux, la banque rembourserait le préjudice.
Si Free veut vraiment protéger ses clients il n’a qu’a racheter les information qui ont été volé quand ils seront en ventes sur le darkweb
a la banque postale pour tout virement on doit taper un numéro secure cela nous protège t’il
Je suis moi aussi ancien client free. (Freebox). Je n’ai rien reçu à ce jour, mais ce que dit l’internaute: à savoir qu’ils n’ont jamais supprimé les données bancaires des anciens clients est accablant pour free: c’est la preuve d’une gestion vraiment amateur et irresponsable. Plus jamais free en tout cas.
Lors du vol des données personnelles chez viamedis il avait été mis en place sur le site du gouvernement une procédure pour déposer plainte en ligne. Cela nous protège en cas d’usurpation d’identité.
Pourquoi cette fois ci la préfecture de police ne fait pas la même chose ?
Je consulte le site https://www.masecurite.interieur.gouv.fr/fr/demarches-en-ligne/plainte-en-ligne tous les jours mais je ne trouve rien.
Pourtant le préjudice potentiel est au moins identique (sauf IBAN)
Lassitude des autorités ? Trop de boulot ?
Aucun mail recu pour ma part. Client internet seulement