2024 restera marqué comme une année critique pour les entreprises françaises en matière de cybersécurité. Les cyberattaques se multiplient, visant de nombreuses grandes marques. En septembre, un pirate informatique a pu accéder aux données personnelles de millions de clients de Cultura, Boulanger, Truffaut et Cybertek. Plus récemment, Ornikar, la plateforme d'auto-écoles en ligne, a été piratée, exposant les informations de 4,3 millions d'apprentis conducteurs.
Désormais, c'est au tour de Free de subir une cyberattaque d'une ampleur inédite. L'opérateur, dirigé par Xavier Niel, a informé ses clients par e-mail qu'un de ses outils de gestion avait été compromis, permettant un accès non autorisé à certaines données personnelles de ses abonnés. Les hackers ont réussi à obtenir les informations personnelles des 19 millions d'abonnés de Free Mobile et Freebox, incluant :
Free a tenu à rassurer en indiquant qu'aucun mot de passe n'a été compromis. Cependant, l'opérateur n'a pas mentionné dans son message que les hackers avaient également réussi à récupérer les IBAN (numéros de compte bancaire) de 5,1 millions d'abonnés Freebox. Sur X, l'expert en cybersécurité SaXx a partagé des informations inquiétantes : 100 000 IBAN de clients Free aurait déjà été publiés gratuitement sur le Dark Web.
Il semble que le pirate n'ait pas apprécié que Free omette de définir dans son mail la fuite des IBAN. Dans son message, le cybercriminel exprime ouvertement son envers méprisant l'opérateur, en affichant une image sur fond orange qui reprend le titre du dernier livre de Xavier Niel : « une sacrée envie de foutre le bordel ». Par ailleurs, le pirate annonce mettre aux enchères le reste des données volées, avec une mise de départ fixée à 70 000 dollars.
Conformément à la législation, Free a signalé cette cyberattaque à la CNIL et à l'ANSSI et a déposé une plainte auprès du procureur de la République. L'opérateur invite ses clients à une vigilance accrue face aux risques d'emails, SMS ou appels frauduleux, précisant que ses conseillers ne demanderont jamais de mot de passe par téléphone.Il est crucial de comprendre la gravité de la situation : les pirates pourraient exploiter ces informations pour mener des campagnes de phishing, dans le but d'obtenir l'accès à certains de vos services. Quant au compromis IBAN, ils pourraient être utilisés avec des informations contractuelles pour orchestrer des attaques de type SIM Swapping. En pratique, cela signifie que les pirates peuvent usurper votre identité auprès de votre opérateur pour transférer votre numéro de téléphone sur une carte SIM en leur possession. Ils pourraient alors recevoir les codes de validation de vos comptes protégés par authentification à deux facteurs, facilitant ainsi l'accès à vos comptes personnels.