Les données de 19,2 millions de clients de Free ont été compromises. Mi-octobre, un cyberpirate a en effet dérobé les données de la majorité des 22,8 millions d'abonnés de l’opérateur mobile français. Le 30 octobre, il a annoncé les avoir vendues pour 175 000 dollars (160 000 euros environ). Selon le pirate, le fichier contiendrait principalement des données personnelles soit les noms, les dates de naissance, les numéros de téléphone, les adresses mail et postales des clients. 5,1 millions d’IBAN (numéro international de compte bancaire) seraient aussi concernés.
Pour se justifier, Free a expliqué avoir été «victime d’une cyberattaque ciblant un outil de gestion» qui «a eu pour conséquence un accès non autorisé à une partie des données personnelles associées aux comptes de certains abonnés». Un échantillon des données a été publié par le cyberpirate suite au vol.
Comment savoir si vous avez été piraté ?
Free a contacté directement les abonnés concernés dans une première vague de mails envoyés dès le 25 octobre. Dans ces courriels, l'opérateur mobile précise la nature des données volées «associées (au) compte abonné : nom, prénom, adresses mail et postale, date et lieu de naissance, numéro de téléphone, identifiant abonné et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non)». L’opérateur précise qu’«aucun mot de passe n’est concerné». Cybermalveillance.gouv affirme que, conformément au règlement général sur la protection des données (RGPD), «Free doit informer individuellement l’ensemble des personnes concernées par cette violation de données personnelles»
Quels sont les risques pour les victimes de ce type de piratage ?
Suite à la cyberattaque, les victimes risquent notamment des prélèvements non autorisés. Que l’on se rassure, il est difficile de prélever de l’argent sur un compte bancaire à partir d’un IBAN. La Banque de France explique que «communiquer son RIB (relevé d’identité bancaire dont l’IBAN) n’est pas risqué en soi (...) Pour qu’un bénéficiaire prélève votre compte, vous devez l'en autoriser en signant un mandat de prélèvement».
Pour autant, l’Observatoire sur la sécurité des moyens de paiement recommande tout de même de «vérifier régulièrement» et de «mettre à jour dans votre espace de banque en ligne la liste des prélèvements créanciers autorisés ou interdits». Cybermalveillance.gouv recommande également de «demander à votre banque le remboursement de toute opération dont vous ne seriez pas l’auteur, ainsi que la suppression de l’autorisation de prélèvement concerné le cas échéant». Le site du gouvernement préconise également d’informer sa banque «de la divulgation de votre IBAN afin qu’elle mette le compte concerné sous vigilance renforcée».
La Fédération bancaire française rappelle qu’une contestation de prélèvement peut se faire «au plus tard dans les 13 mois à compter de la date de débit». Le délai est réduit à «70 jours lorsque l’établissement du bénéficiaire du paiement se situe en dehors de l’Union européenne ou de l’Espace économique européen».
Autres risques à surveiller : «l'hameçonnage (phishing)» et les «tentatives d’escroqueries ou d’usurpation d’identité, de détournement de ligne téléphonique mobile» précise Cybermalveillance.gouv. Pour cela, il faut rester vigilant face aux tentatives d’hameçonnage par mail ou par téléphone, ne pas communiquer de mot de passe et ne valider aucune opération bancaire à la demande d’un conseiller.
Quels recours après avoir été piraté ?
Les victimes de la cyberattaque peuvent déposer plainte auprès de la CNIL (Commission nationale de l'informatique et des libertés) si elles estiment que leurs données personnelles n’ont pas été suffisamment protégées par Free. Si les informations volées sont utilisées, les personnes concernées peuvent déposer plainte au commissariat de police ou à la brigade de gendarmerie.
De son côté, Free a indiqué que «cette attaque a été notifiée à CNIL et à l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Une plainte pénale a également été déposée auprès du procureur de la République», a affirmé l’opérateur téléphonique dans un mail adressé aux abonnés.
