Le pirate ayant mis en vente les données personnelles de 19,2 millions de clients de Free a récemment confirmé la vente de ce fichier pour environ 175 000 dollars (environ 160 000 euros). Cette cyberattaque ciblée a entraîné la fuite d’informations sensibles, dont les noms, prénoms, adresses, dates de naissance et IBAN (numéros de compte bancaire) de millions de clients. Selon un expert en cybersécurité, Damien Bancal, l’opérateur Free a été averti de cette intrusion, mais a pour l’instant choisi de ne pas commenter la situation.
Les informations compromises dans cette attaque
Les données compromises incluent des informations sensibles mais sans accès aux mots de passe ou cartes bancaires. La présence des IBAN soulève cependant des inquiétudes, car, même si un prélèvement à partir d’un IBAN est complexe sans autorisation explicite, les cybercriminels pourraient contourner cette difficulté en utilisant d’autres informations, comme des signatures contrefaites ou des autorisations frauduleuses.
Les clients de Free ont ainsi été invités par l’opérateur à redoubler de vigilance. En effet, l’Observatoire sur la sécurité des moyens de paiement rappelle qu’il est essentiel de vérifier régulièrement les mouvements sur ses comptes bancaires et de maintenir à jour la liste des créanciers autorisés dans son espace bancaire en ligne. En cas de doute sur un prélèvement non autorisé, les clients disposent d’un délai de 13 mois pour contester une transaction, délai réduit à 70 jours si le prélèvement a été effectué hors de l’Union européenne.
Les informations obtenues dans cette attaque pourraient être utilisées pour diverses tentatives de fraude, comme des campagnes de phishing (ou hameçonnage) par email ou téléphone. Dans ces scénarios, les fraudeurs se font souvent passer pour des conseillers bancaires, incitant leurs victimes à fournir des données supplémentaires, comme des codes de sécurité ou des mots de passe. Il est crucial pour les clients de Free de ne jamais partager d’informations sensibles en réponse à des sollicitations non vérifiées et de privilégier une double authentification pour sécuriser davantage leurs comptes.
Le recours des clients et le rôle de la CNIL
Face à la gravité de cette cyberattaque, la Commission nationale de l’informatique et des libertés (CNIL) a ouvert une enquête pour faire la lumière sur la faille de sécurité et l’atteinte aux données personnelles. La CNIL a également rappelé aux personnes concernées qu’elles peuvent déposer une plainte auprès d’elle ou des autorités locales en cas d’usurpation d’identité ou de fraude bancaire liée à cette fuite de données.
Pour faciliter le dépôt de plainte, un formulaire en ligne sera bientôt mis à disposition sur le site cybermalveillance.gouv.fr, permettant aux victimes de s’associer à l’enquête en cours sans se rendre physiquement en commissariat ou gendarmerie.
Mesures de protection et recommandations
Pour se prémunir des risques liés aux données volées, plusieurs mesures sont recommandées par les experts en cybersécurité :
Surveillance des comptes bancaires : contrôler régulièrement les mouvements sur ses comptes et activer les alertes en cas de transaction suspecte.
Vérification des prélèvements automatiques : limiter les prélèvements aux créanciers de confiance en utilisant une liste blanche de créanciers autorisés.
Ne jamais divulguer d’informations sensibles : éviter de répondre aux appels ou mails suspects et ne jamais fournir de codes de sécurité ou de mots de passe en ligne.
Changer les mots de passe : pour toute plateforme potentiellement liée à cette fuite de données, et activer la double authentification pour renforcer la sécurité.
Déposer plainte : en cas de tentatives de fraude avérées, les clients concernés peuvent joindre leur plainte à l’enquête en cours via les canaux mis en place.
Cette fuite de données massive, touchant près de 19,2 millions de clients Free, représente une crise de confiance pour l’opérateur. Elle illustre l’importance croissante pour les entreprises de renforcer leurs infrastructures et mesures de sécurité pour protéger les informations de leurs utilisateurs.