Permettant de vérifier si des informations personnelles ont été compromises à la suite de violations de données, le site Have I Been Pwned (HIBP) a récemment ajouté la fuite de Free d'octobre 2024 à sa base de données.
Il est fait mention de 13,9 millions de comptes affectés pour des données comprenant les noms, les dates de naissance, les adresses postales, voire des identifiants de comptes bancaires (IBAN) pour des abonnés Freebox.
Selon HIBP, 59 % des près de 14 millions d'adresses e-mail uniques étaient déjà référencées par ses soins et donc exposées lors de précédentes fuites de données.
Des utilisateurs sans doute déjà prévenus
Pour la fuite de données ayant touché Free en octobre 2024, une cyberattaque avait ciblé un outil de gestion et avait abouti à un accès non autorisé à une partie des données personnelles associées à des comptes d'abonnés.
Sur un forum cybercriminel, il avait été revendiqué l'exfiltration des informations personnelles de 19,2 millions de clients de Free, dont 5,11 millions de numéros IBAN.
Free avait alerté des clients (fixe et mobile) pour les informer de la violation de données. A priori… il ne devrait pas avoir de mauvaise surprise en utilisant Have I Been Pwned.
Une procédure de sanction en cours
L'UFC-Que Choisir a saisi la Commission nationale de l'informatique et des libertés (Cnil) dans cette affaire.
« Il est inacceptable que les consommateurs courent des risques du fait d'une fuite de leurs données détenues par les professionnels. […] Je demande à la Cnil de prendre toutes mesures proportionnées et dissuasives si une quelconque faute, négligence ou défaillance de l'opérateur était avérée », avait déclaré Marie-Amandine Stévenin, présidente de l'UFC-Que Choisir.
Après des plaintes, la Cnil avait ouvert une procédure de sanction visant Free et elle reste en cours, sans préjuger de l'issue qui sera éventuellement donnée.
