En octobre 2024, un individu se présentant en tant que drussellx avait publié sur le forum cybercriminel BreachForums une annonce pour la mise en vente d'informations personnelles de 19,2 millions de clients de Free, dont 5,11 millions d'identifiants de compte bancaire (IBAN).
Les gros chiffres n'ont pas été confirmés par Free, qui avait néanmoins alerté des clients (fixe et mobile) pour les informer d'une fuite de données. À l'origine, une cyberattaque ayant ciblé un outil de gestion et avec pour conséquence un accès non autorisé à une partie des données personnelles associées à un compte abonné.
Free avait ainsi explicitement cité : nom, prénom, adresses e-mail et postale, identifiant abonné, IBAN et données contractuelles (type d'offre souscrite, date de souscription, abonnement actif ou non). Dans le cadre de cette fuite de données qui avait touché de nombreux abonnés Free, la CNIL a effectué un contrôle chez l'opérateur.
Un lien avec le groupe Epsilon ?
Selon une information du Parisien et de l'AFP (Le Monde), un adolescent âgé de 17 ans résidant dans l'Essonne a été mis en examen mercredi. Il serait impliqué dans la violation de données de Free et la tentative d'extorsion de Xavier Niel, le président du groupe Iliad (maison-mère de Free).
En novembre, le tribunal judiciaire de Paris - saisi par Free et Free Mobile - avait ordonné à la messagerie Telegram de communiquer toutes les données d'identification d'une personne ayant créé un compte sur sa plateforme pour contacter Xavier Niel, et pour essayer d'obtenir un paiement en échange des données dérobées.
Si la tentative de chantage est restée vaine, la base de données aurait toutefois été revendue pour 20 000 € et l'adolescent mis en examen aurait empoché la moitié de cette somme. Il serait en outre lié à d'autres piratages, dont celui de Sport 2000 qui avait été revendiqué par le groupe francophone Epsilon.