Cyberattaque de Free : incroyable coup de théâtre, le pirate nie avoir vendu les données volées !

Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.

Publié le 06 novembre 2024 à 17h23

Un nouveau rebondissement est à signaler dans la cyberattaque ayant touché Free. Un pirate, lui-même impliqué dans l'affaire, déclare désormais que les informations volées n'ont en fait pas été vendues.

Nouvel épisode de la cyberattaque ayant touché Free fin octobre © Alexandre Boero / Clubic

Après que Free ait confirmé l'attaque et informé ses clients, un hacker se faisant appeler « drussellx » avait affirmé avoir mis aux enchères une base de données contenant les informations de 19,2 millions de clients. Pire, il prétendait également avoir eu accès aux IBANs de plus de 5 millions d'entre eux. Quelques jours plus tard, ce même cybercriminel avait annoncé avoir vendu cette mine d'or pour 175 000 dollars, soit environ 160 000 euros. Mais il semblerait que ce ne soit finalement pas le cas.

La fuite de données Free prend un nouveau tournant

Selon le site spécialisé DataBreaches, un autre pirate informatique, se faisant appeler « YuroSh », a pris contact avec la rédaction pour apporter de nouveaux éléments. Contrairement aux affirmations précédentes, YuroSh assure que les données n'ont en réalité jamais été vendues. Il explique que lui et son complice « drussellx » avaient des priorités différentes, quant à l'utilisation de ces données.

D'après YuroSh, drussellx aurait plutôt voulu extorquer de l'argent à l'opérateur Free, en le menaçant de divulguer les informations, en utilisant les annonces de mise aux enchères et de vente sur le dark web, comme moyen de pression. YuroSh, lui, semble davantage motivé par un certain hacktivisme, souhaitant plutôt dénoncer les problèmes de surveillance et d'atteintes à la vie privée en France.

Des failles de sécurité déjà connues ?

YuroSh affirme par ailleurs que lui et son acolyte avaient déjà alerté Free sur des failles de sécurité dans le passé, sans que l'opérateur ne semble y avoir réellement donné suite. Il fait notamment référence à une amende de 300 000 euros infligée à Free par la CNIL, le gendarme des données, en novembre 2022, pour non-respect des droits des utilisateurs et problèmes de sécurité des données.

Interrogé par DataBreaches, YuroSh a indiqué que les vulnérabilités qu'ils avaient signalées à Free étaient intervenues après cette sanction de la CNIL, et qu'elles auraient permis d'envoyer « des millions de requêtes pendant des semaines » sans être détectés. Selon nos confrères du MagIT, le hacker ajoute tout de même que la sécurité de l'opérateur demeure d'un niveau « tout à fait convenable pour qui ne creuse pas trop », même s'il serait « lent à répondre ».

En attendant, qu'en est-il désormais des données de Free ?

Malgré ces nouvelles révélations, la situation reste floue concernant le sort final des données dérobées chez Free. Selon YuroSh, lui et drussellx les conserveraient, sans pour autant les avoir vendues comme cela avait été annoncé précédemment. Peut-être finiront-ils par les détruire ?

YuroSh semble conscient que même sans vente effective, la simple existence de ces données volées peut générer une certaine anxiété chez les millions de personnes concernées. La possibilité de déposer plainte, auprès de la CNIL ou d'un commissariat, existe pour ceux qui espèrent obtenir réparation.

Le sentiment partagé par les abonnés anciens ou actuels est en tout cas compréhensible, dans la mesure où un IBAN bancaire correctement exploité n'est pas sans risque total, et dans un contexte où la protection des données personnelles est devenue un enjeu majeur.

Une nouvelle alerte sur les enjeux de surveillance

Au-delà de l'affaire Free elle-même, YuroSh semble vouloir profiter de la situation pour dénoncer plus largement les problèmes de surveillance en France. Selon lui, le pays fait face à une érosion massive de la vie privée, avec de nombreuses autres fuites de données récentes touchant des organismes publics et privés : on peut parler de SFR, de France Travail, de la CAF et d'autres.

Le pirate pointe notamment du doigt la généralisation de la vidéosurveillance algorithmique, mise en place avant les Jeux olympiques de 2024 sous couvert de « sécurité publique ». Il dénonce ici une atteinte aux libertés individuelles, dans un pays où l'utilisation d'outils de protection de la vie privée comme ProtonMail ou Tor est même parfois vue d'un très mauvais œil par les forces de l'ordre.

YuroSh estime que la situation est préoccupante, allant au-delà d'une simple faille isolée chez Free. D'après lui, le problème est systémique, enraciné dans un gouvernement « déterminé à imposer un État de surveillance ». Une surveillance qu'il juge liberticide, et qu'il souhaite dénoncer à travers ses actes de piratage.

Fuite de données chez Free, tout ce qu'il faut savoir 👇

🔗 Un numéro vert gratuit a été mis en place pour les victimes, comment ça marche ?

🔗 Comment se protéger des assauts des hackers ? Des experts vous conseillent

🔗 Fuite de données, IBAN, banques, Free nous explique ce qui s'est passé et sa réaction

Sources : Clubic, DataBreaches, LeMagIT

Par Alexandre Boero

Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Articles d'Alexandre Boero

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Binbin

J’ose espérer que cet article ne baissera pas la vigilance de toutes les personnes qui ont reçu l’email de Free…

Duben

Oui bon, les données ont été achetées par un certain Xavier75 et puis voilà

buticula

Il me semble qu’il les possède déjà !

gamez

D’ailleurs où en est la fameuse page sur le site de la cnil pour déposer plainte en ligne, ce qui était sensé faciliter les démarches des personnes touchées?

Pernel

Non, par Stéphane R. pour lui faire une blague.

Luna_Shin

Et vous, Mr le rédacteur, vous êtes prêt à avaler qu’un pirate nie les faits? Genre qu’il a piraté tout ça pour du flan… Naïveté monumentale. Je te parie que c’est un coup de bluff de Free pour sauvé les apparences ridicule de leur protection passoire.

GeorgesC

Un problème légal, en plus d’un problème technique. Les fuites existeront toujours. Etre obligé légalement d’envoyer toutes ses données personnelles pour s’authentifier, une méthode qui date de l’âge de pierre d’internet. Tant que l’on paye le service, il n’y a aucun autre besoin, c’est le contrat.

MattS32

En l’occurrence les données qui ont été volées à Free sont bien des données qui sont indispensables pour le contrat :

le nom, prénom et adresse de la personne (nécessaire pour un contrat, et à fortiori pour un contrat de service télécom où un anonymat complet causerait beaucoup d’abus),
une adresse mail de contact,
les coordonnées bancaires pour le paiement.

À la limite on peut discuter du caractère indispensable de l’adresse mail. Mais ce serait justement rester à l’âge de pierre que de ne communiquer avec son fournisseur d’accès Internet que par courrier papier…

philumax

J’y crois pas ! Vu la somme…

GeorgesC

L’identité n’est pas nécessaire. Ce qui est nécessaire c’est que free reçoive l’argent. L’argent est reçu ou il ne l’est pas.

L’adresse me semble nécéssaire pour la gestion du réseau.

L’email est nécessaire pour identifier le client mais ça pourrait être autre chose.

Les coordonnées bancaires devraient ne pas être nécéssaires, dans le sens ou c’est le client qui lance le paiement, pas free qui lance le paiement du client pour le client, dans un monde logique.