Free hacké : les données de 14 millions d'abonnés dans la nature ? L'opérateur dément !

Par Mathieu Grumiaux, Expert maison connectée.

Publié le 14 septembre 2023 à 11h30

[Mise à jour 14/09/2023 à 16:59] Un hacker annonce avoir récupéré une base de données depuis les serveurs de Free et les a mis en vente. Une information que l'opérateur a démentie dans l'après-midi auprès de l'AFP évoquant la récupération de quelques fiches d’abonnés dans deux arrondissements de Paris.

Nos confrères de Zataz révèlent aujourd'hui qu'un hacker aurait réussi à mettre la main sur la base de données utilisateurs de l'opérateur Free, l'un des plus grands opérateurs français. Cette personne aurait donc réussi à dérober les données personnelles de 14 millions de clients dans l'Hexagone.

Les informations de 14 millions d'abonnés Free vendues pour quelques centaines d'euros

Zataz indique avoir repéré le piratage en date du 12 août dernier. Le hacker, qui se fait appeler « Depressif », explique sur un forum de cybercriminels vouloir vendre cette base de données en une seule fois, à un client unique. Le fichier n'est vendu que quelques centaines d'euros.

Dans un autre message en anglais, le hacker précise que le fichier pèse 2,9 Go et qu'il n'accepte que les crypto-monnaies en guise de règlement. Le paiement doit être réalisé en Monero, une devise numérique anonyme et plébiscitée par les pirates informatiques qui souhaitent protéger leur confidentialité.

Dans la base de données figureraient les adresses mail de l'ensemble des abonnées Free, ce qui serait suffisant pour lancer des vagues d'arnaques en ligne et de phishing. Grâce à un e-mail bien tourné et suffisamment alarmant, comme on l'a déjà vu plusieurs fois par le passé, les escrocs pourraient récupérer les données bancaires d'utilisateurs et leur soutirer de l'argent facilement.

Les numéros de téléphone pourraient aussi être utilisés pour arnaquer des clients crédules, avec des arnaqueurs qui se font passer pour leurs conseillers bancaires ou un membre du service client de Free.

Des informations datées, mais la prudence reste de mise

Si le volume de données récupérées par ce hacker peut faire peur, les équipes de Zataz se veulent plus rassurantes. En premier lieu, et selon leurs propres consultations, seules les données d'utilisateurs parisiens, des XVIII^e et XIX^earrondissements, étaient présentes dans l'échantillon analysé.

Aussi, les données semblent particulièrement datées. Plusieurs des clients dont les numéros de téléphone et mails apparaissaient dans le fichier indiquent en effet ne plus être abonnés à l'opérateur ou avoir déménagé depuis plusieurs années.

Toujours est-il qu'une campagne d'arnaques massive est possible, et comme le mois dernier lorsque cette mésaventure est arrivée à Pôle emploi, nous vous invitons à redoubler de vigilance si vous êtes abonné Free, ancien ou actuel. Ne répondez pas précipitamment aux e-mails, SMS ou appels dont vous ne connaissez pas l'expéditeur, et contactez votre banque si vous avez le moindre doute afin d'éviter tout problème sur votre compte bancaire.

Source : Zataz

Par Mathieu Grumiaux

Expert maison connectée

Journaliste pour Clubic, je couvre essentiellement les sujets concernant la maison connectée et les objets connectés, mais aussi les dernières nouvelles de l'industrie du streaming vidéo, entre autres sujets. Je suis également l'actu d'Apple, marque qui m'accompagne depuis mon premier iPod mini en 2005 (ça ne nous rajeunit pas…)

Articles de Mathieu Grumiaux

Piratage

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (10)

Yorgmald

Ancien abonné datant de plusieurs années encore dans une bdd ? Je serais curieux de savoir de combien d’années on parle et pourquoi Free a gardé ces infos qui il me semble doivent être effacé à un moment donné.

Muggsy68

La RGPD et l’anonymisation de la donnée non essentielle reste assez récent hein.

Un nom/numéro/adresse sera toujours considéré pour eux comme une possibilité de reconquérir l’ex client

Et quand tu pars tu ne peux pas tout supprimé vu qu’une facture peut être réclamée jusqu’à 2 ans après son émission vers un particulier.

Yorgmald

La rgpd c’est 2018, donc largement le temps de l’appliquer, ça daterait de 6 mois je comprendrais mais là non.

Il serait intéressant de savoir justement l’âge de ces données pour évaluer si Free est bon ou pas avec la loi.

J’ai l’impression que sur l’application du rgpd il y un trop grand laxisme des structures qui y sont soumises.

Feunoir

Donc actuellement le titre de l’article pourrait être " Les vielles informations d’un millier d’abonnés Free vendues pour quelques centaines d’euros "

bennukem

Obligation de garder les données comptables 10ans, non ?

toast

Ça c’est parce que tu pars du principe que la base de données du pirate est « honnête »

ar-s

Même en étant chez free, qui utiliser un mail free.fr ??? Sans déconner.

MattS32

Concernant le fait qu’il s’agit de données anciennes, outre l’inévitable conservation des données pendant « un certain temps » après la résiliation, il peut aussi tout simplement s’agir de données issues d’un hack ancien qui ne font surface qu’aujourd’hui.

Et il y a aussi la problématique des archives. Les bonnes pratiques en matière d’archivage de données veulent qu’une archive une fois réalisée n’est plus jamais altérée. On ne peut donc pas supprimer les données d’anciens clients quand elles sont présentes dans des archives.

Autre hypothèse, la fuite peut par exemple venir d’ancien matériel qui n’était plus utilisé et a échappé aux procédures d’effacement/destruction en fin de vie puis a fini entre de mauvaises mains.

eFBe

Il ne faut pas confondre RGPD, concernant les démarches commerciales et de prospections, et maintien de données à des fins administratives et fiscales. Les données comptables doivent être gardées 10 ans (prescription en matière comptable) et certaines données clients sont donc conservées afin de rattacher une donnée comptable à un dossier client.

eFBe

Free, comme toute entreprise, doit conserver certaines données clients à des fins administratives et comptables. Mais, ces données ne peuvent donner lieu à des utilisations prospectives et commerciales.