Free, victime d'une récente cyberattaque d'ampleur, livre des détails sur l'incident et sur sa réaction en conséquence. L'opérateur essaie de rassurer sur la fuite de nombreux IBANs, disponibles sur le dark web.
L'opérateur Free, victime d'une cyberattaque d'ampleur ces dernières semaines, a enclenché une communication de crise logique, au vu de l'ampleur des dégâts. Les données de 19 millions de clients auraient fuité, tout comme des milliers d'IBANs, cet identifiant bancaire qui provoque la peur des utilisateurs. Si l'entreprise confirme la fuite de données et de certains IBANs, elle n'indique pas le nombre exact de personnes touchées, pour des raisons évidentes. L'opérateur a livré des informations sur cet incident à Clubic, concernant notamment le risque de voir son IBAN se balader dans la nature.
Une cyberattaque très sérieuse, mais qui n'a pas impacté les services ni activités de Free
Free a donc été victime d'une attaque informatique, qui évidemment met un peu à mal sa réputation d'opérateur « geek », mais ce qui prouve aussi qu'aucune entreprise n'est épargnée par les pirates. La cyberattaque a touché un outil de gestion de l'opérateur.
« Elle a eu pour conséquence un accès non autorisé à une partie des données personnelles associées aux comptes de certains abonnés », précise Free. L'entreprise ajoute qu'aucun impact opérationnel n'a été constaté par ses équipes ou clients sur ses activités et services.
De nombreuses données ont hélas fuité. Parmi elles, on retrouve les nom, prénom, adresse postale, numéro de téléphone, identifiant, e-mail, ID Freebox, identifiant du compte, offre associée au client, et IBAN. « Aucun mot de passe, carte bancaire, contenu des communications (e-mails, SMS, messages vocaux) ne sont concernés », ajoute Free. En ce qui concerne l'IBAN, on vous reparle dans un instant, nous reviendrons sur les risques liés à sa fuite.
Les autorités compétentes ont été informées par l'opérateur
En attendant, quelle a été la réaction de Free, suite à cette attaque ? L'opérateur a évidemment pris les mesures pour mettre fin à la cyberattaque, et renforcer la protection de ses systèmes d'information.
L'incident a, en parallèle, été notifié à la CNIL, la Commission nationale de l'informatique et des libertés, ainsi que l'ANSSI, l'Agence nationale de la sécurité des systèmes d'information, conformément au RGPD, le règlement européen sur la protection des données.
Free a aussi déposé plainte auprès du procureur de la République, et a commencé à informer ses clients mobiles et/ou fixe concernés.
Quel risque après avoir vu fuiter son IBAN ?
Free a confirmé que parmi les données tombées entre les mains des pirates, on retrouve l'IBAN (International Bank Account Number) de certains d'entre eux. Si l'opérateur se refuse à livrer le chiffre exact, un hacker revendique la mise en vente, pour 70 000 dollars, d'un package de 100 000 IBAN appartenant à des clients de l'opérateur.
La firme de Xavier Niel nous précise une chose : « seuls les IBANs de certains abonnés Freebox ont été concernés, et ces derniers ont été informés par e-mail ». Par mesure de précaution, l'opérateur a informé ses partenaires bancaires de l'attaque. « Si un abonné constate un prélèvement inhabituel, ne correspondant à aucune date et aucun montant de facture connue, il a 13 mois pour le signaler à sa banque. Sa banque est alors tenue de faire le nécessaire pour le rembourser », rappelle l'opérateur.
Il est néanmoins important de rappeler qu'un IBAN, seul, ne suffit pas à effectuer un prélèvement auprès d'une banque. Il est en effet peu probable qu'un prélèvement d'origine inconnue sur le compte d'un client soit accepté par la banque. Il faut, en revanche, et nous en avions déjà parlé dans le cas de la fuite de données de SFR, se méfier désormais des tentatives d'hameçonnage. « Ne communiquez sous aucun prétexte vos codes d'accès ou carte bancaire, que ce soit par e-mail, SMS ou lors d'un appel ». Et soyez prudents.