Sur un forum cybercriminel, un dénommé drussellx avait passé une annonce pour la mise en vente d'informations personnelles de 19,2 millions de clients de Free, dont 5,11 millions d'identifiants de compte bancaire (IBAN).
Free ne confirme pas ces gros chiffres susceptibles de toucher la presque totalité de ses abonnées Free Mobile et Freebox, mais indique bel et bien avoir été victime d'une cyberattaque. Elle a ciblé un outil de gestion et a entraîné " un accès non autorisé à une partie des données personnelles associées aux comptes de certains abonnés. "
Dans un e-mail adressé à des abonnés, Free énumère nom, prénom, adresses e-mail et postale, date et lieu de naissance, numéro de téléphone, identifiant abonné et données contractuelles (type d'offre souscrite, date de souscription, abonnement actif ou non. De telles données compromises sont évoquées dans un autre e-mail (pour des abonnés Freebox), en plus des numéros IBAN.
Le hacker tance Free avec le titre du livre de Xavier Niel
" Aucun de vos mots de passé n'est concerné ", souligne Free dans ses e-mails. " Toutes les mesures ont été prises immédiatement pour mettre fin à l'attaque et renforcer la protection de nos systèmes d'information. " De quoi toutefois faire grincer des dents, tant cette phrase semble désormais automatisée.
Free précise que la violation de données a été notifiée à la Commission nationale de l'informatique et des libertés (Cnil) - une obligation du Règlement général sur la protection des données - et à l'Agence nationale de sécurité des systèmes d'information (Anssi). L'opérateur présente ses excuses et ajoute qu'une plainte pénale a été déposée auprès du procureur de la République.
" L'auteur de ce délit s'expose à une peine de 5 ans d'emprisonnement. " Sur le forum cybercriminel, drussellx joue la provocation et diffuse un échantillon gratuit de plus de 100 000 identifiants IBAN. A priori, c'est cette divulgation qui serait à l'origine du deuxième e-mail de Free pour ses abonnés. Le cybercriminel précise qu'une copie des données est à vendre pour plus de 70 000 dollars.
" Si l'entreprise ne participe pas à cette vente aux enchères unique dans les prochains jours, la copie des données sera vendue, ce qui entraînera de graves conséquences pour les clients et sera probablement divulguée publiquement sur les forums dans un avenir proche ", écrit drussellx dans son message qui reprend le titre du dernier ouvrage de Xavier Niel (entretiens du fondateur de Free avec Jean-louis Missika)... " Une sacrée envie de foutre le bordel. "
Énième appel à la vigilance
Free lance un appel à la vigilance face à des risques d'e-mails, de SMS ou d'appels frauduleux. " Sachez que nos conseillers ne vous demanderont jamais vos mots de passe à l'oral. "
À noter qu'un IBAN ne contient pas lui-même d'informations confidentielles. Il s'agit de l'identifiant international de compte bancaire auprès d'une institution financière. La Banque de France écrit qu'il est nécessaire pour réaliser toutes les transactions SEPA (Single Euro Payments Area) comme un prélèvement ou un virement, ainsi que des transactions internationales.
N.B. : Source images forum cybercriminel : @_SaaX_.
