Selon une information révélée par ZATAZ, un hacker se faisant appeler "Dépressif" a prétendu détenir et vendre les données de 14 millions de clients de Free, l'un des plus grands fournisseurs d'accès Internet en France. Cette annonce, repérée le 12 août 2023 par le Service Veille ZATAZ, a suscité de vives inquiétudes parmi les abonnés et les experts en cybersécurité.
2,9 Go de données personnelles dans la nature
Le cybercriminel a affirmé que la base de données, pesant 2,9 Go, contient des informations sensibles telles que les identités, numéros de téléphone, adresses électroniques et physiques des clients. Il a également précisé qu'il n'accepterait que les paiements en cryptomonnaie, en particulier en Monero, une monnaie numérique réputée pour sa confidentialité.
Cependant, selon ZATAZ, l'échantillon consulté ne contenait que des données de clients résidant dans les 18ᵉ et 19ᵉ arrondissements de Paris. Plusieurs témoignages ont également suggéré que ces informations pourraient être obsolètes.
Quels risques pour les clients de l’opérateur low-cost ?
Si le piratage massif de Free est réel, les conséquences pourraient être graves. Les numéros de téléphone pourraient être utilisés pour du spam téléphonique ou des arnaques bancaires. Les adresses électroniques pourraient être ciblées par des campagnes de phishing.
Pas de quoi s’inquiéter plus que nécessaire, selon Free
Free a rapidement réagi. L'opérateur a démenti l'existence d'une telle base de données en ligne et a souligné que la sécurisation de ses systèmes était une priorité. Bien que Free ait reconnu un incident en août 2023, il s'agissait d'un accès salarié compromis qui n'a affecté qu'un nombre limité d'abonnés. « Ce qui a été publié correspond à des infos liées à un incident identifié au mois d’août par nos systèmes de surveillance. Un accès salarié (compromis par un hackeur) a permis de récupérer quelques fiches d’abonnés toutes situées dans le 75018 ou 75019 », explique Free à Frandroid.
De fait, selon Free, cette base de données est tout simplement inexistante. Le fichier de 2,9 Go pourrait n’être qu’une compilation de données volées précédemment et désormais obsolètes. Ou alors le prétendu pirate tente de se faire de l’argent facilement.
Reste que, malgré tout, un problème de sécurité a bien été identifié par l’opérateur. Ce dernier a déposé une plainte, comme le demande la réglementation française. « Conformément au RGPD, l’incident a été déclaré à la CNIL et nous avons prévenu nos abonnés. De plus, une plainte pénale a été déposée. La surveillance de ce type d’incident est constante, et une source de toute notre attention et de toute notre vigilance. »
Article initialement publié sur EconomieMatin :