L’opérateur Free a communiqué, dans un e-mail envoyé à certains de ses clients, des détails sur les données personnelles volées lors d’un piratage dont il a fait l’objet. Dans un message consulté lundi 28 octobre par Le Monde, l’entreprise explique que cet accès frauduleux a exposé de nombreuses données personnelles de clients : « Nom, prénom, adresses e-mail et postale, numéro de téléphone, identifiant abonné, IBAN et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non). »
Le 21 octobre, sur le site BreachForums (l’un des principaux espaces d’achat et de vente de données volées), un internaute non identifié a revendiqué le vol. Un échantillon de la base de données, mise aux enchères sur le forum, fait bien apparaître des adresses postales, numéros de téléphone et identifiants IBAN, ainsi que des données sur le type de forfait souscrit par les victimes de ce piratage. Le flou subsiste toutefois sur le nombre de personnes touchées : si le pirate affirme que plusieurs millions d’abonnés Free sont concernés, l’opérateur (propriété du groupe Iliad, dont le fondateur, Xavier Niel, est actionnaire à titre individuel du Monde), lui, n’a pas encore donné d’indication sur le nombre de clients ou anciens clients affectés par cette attaque.
Free promet qu’aucun mot de passe n’a été dérobé, et que les données relatives aux cartes bancaires de clients n’ont pas non plus été affectées. Reste que l’IBAN peut être détourné de plusieurs manières pour soutirer de l’argent à une victime. Certains escrocs, en utilisant cet identifiant associé à un compte bancaire, peuvent, par exemple, émettre des mandats de prélèvement frauduleux. Une autre arnaque consiste à faire un virement à destination de la victime (par exemple en utilisant un moyen de paiement frauduleux) puis à plaider une erreur et à lui demander un remboursement.
Free avait annoncé dès samedi avoir déposé une plainte auprès du procureur de la République, ainsi que notifié la Commission nationale de l’informatique et des libertés (CNIL) et l’Agence nationale de la sécurité des systèmes d’information (Anssi), après une « cyberattaque » ciblant un « outil de gestion ». Contactée, l’entreprise n’avait pas répondu aux sollicitations du Monde au moment de la publication de cet article.
