Un nouveau rebondissement est à signaler dans la cyberattaque ayant touché Free. Un pirate, lui-même impliqué dans l'affaire, déclare désormais que les informations volées n'ont en fait pas été vendues.
Après que Free ait confirmé l'attaque et informé ses clients, un hacker se faisant appeler « drussellx » avait affirmé avoir mis aux enchères une base de données contenant les informations de 19,2 millions de clients. Pire, il prétendait également avoir eu accès aux IBANs de plus de 5 millions d'entre eux. Quelques jours plus tard, ce même cybercriminel avait annoncé avoir vendu cette mine d'or pour 175 000 dollars, soit environ 160 000 euros. Mais il semblerait que ce ne soit finalement pas le cas.
La fuite de données Free prend un nouveau tournant
Selon le site spécialisé DataBreaches, un autre pirate informatique, se faisant appeler « YuroSh », a pris contact avec la rédaction pour apporter de nouveaux éléments. Contrairement aux affirmations précédentes, YuroSh assure que les données n'ont en réalité jamais été vendues. Il explique que lui et son complice « drussellx » avaient des priorités différentes, quant à l'utilisation de ces données.
D'après YuroSh, drussellx aurait plutôt voulu extorquer de l'argent à l'opérateur Free, en le menaçant de divulguer les informations, en utilisant les annonces de mise aux enchères et de vente sur le dark web, comme moyen de pression. YuroSh, lui, semble davantage motivé par un certain hacktivisme, souhaitant plutôt dénoncer les problèmes de surveillance et d'atteintes à la vie privée en France.
Des failles de sécurité déjà connues ?
YuroSh affirme par ailleurs que lui et son acolyte avaient déjà alerté Free sur des failles de sécurité dans le passé, sans que l'opérateur ne semble y avoir réellement donné suite. Il fait notamment référence à une amende de 300 000 euros infligée à Free par la CNIL, le gendarme des données, en novembre 2022, pour non-respect des droits des utilisateurs et problèmes de sécurité des données.
Interrogé par DataBreaches, YuroSh a indiqué que les vulnérabilités qu'ils avaient signalées à Free étaient intervenues après cette sanction de la CNIL, et qu'elles auraient permis d'envoyer « des millions de requêtes pendant des semaines » sans être détectés. Selon nos confrères du MagIT, le hacker ajoute tout de même que la sécurité de l'opérateur demeure d'un niveau « tout à fait convenable pour qui ne creuse pas trop », même s'il serait « lent à répondre ».
En attendant, qu'en est-il désormais des données de Free ?
Malgré ces nouvelles révélations, la situation reste floue concernant le sort final des données dérobées chez Free. Selon YuroSh, lui et drussellx les conserveraient, sans pour autant les avoir vendues comme cela avait été annoncé précédemment. Peut-être finiront-ils par les détruire ?
YuroSh semble conscient que même sans vente effective, la simple existence de ces données volées peut générer une certaine anxiété chez les millions de personnes concernées. La possibilité de déposer plainte, auprès de la CNIL ou d'un commissariat, existe pour ceux qui espèrent obtenir réparation.
Le sentiment partagé par les abonnés anciens ou actuels est en tout cas compréhensible, dans la mesure où un IBAN bancaire correctement exploité n'est pas sans risque total, et dans un contexte où la protection des données personnelles est devenue un enjeu majeur.
Une nouvelle alerte sur les enjeux de surveillance
Au-delà de l'affaire Free elle-même, YuroSh semble vouloir profiter de la situation pour dénoncer plus largement les problèmes de surveillance en France. Selon lui, le pays fait face à une érosion massive de la vie privée, avec de nombreuses autres fuites de données récentes touchant des organismes publics et privés : on peut parler de SFR, de France Travail, de la CAF et d'autres.
Le pirate pointe notamment du doigt la généralisation de la vidéosurveillance algorithmique, mise en place avant les Jeux olympiques de 2024 sous couvert de « sécurité publique ». Il dénonce ici une atteinte aux libertés individuelles, dans un pays où l'utilisation d'outils de protection de la vie privée comme ProtonMail ou Tor est même parfois vue d'un très mauvais œil par les forces de l'ordre.
YuroSh estime que la situation est préoccupante, allant au-delà d'une simple faille isolée chez Free. D'après lui, le problème est systémique, enraciné dans un gouvernement « déterminé à imposer un État de surveillance ». Une surveillance qu'il juge liberticide, et qu'il souhaite dénoncer à travers ses actes de piratage.
Fuite de données chez Free, tout ce qu'il faut savoir 👇
Sources : Clubic, DataBreaches, LeMagIT
