En octobre 2024, l’opérateur français Free a été la cible d’une cyberattaque majeure, compromettant les données personnelles de près de 20 millions de clients. Cette intrusion a mis en lumière des vulnérabilités critiques dans la gestion des données et soulève des questions essentielles sur la protection des informations sensibles.
Chronologie de l’attaque
Le 17 octobre 2024, un pirate informatique a exploité une faille dans un outil de gestion interne de Free, accédant ainsi à une vaste base de données clients. Les informations dérobées incluent noms, prénoms, adresses postales et électroniques, numéros de téléphone, identifiants abonnés, ainsi que les IBAN de plus de 5 millions d’abonnés Freebox. Le 21 octobre, le pirate a adressé trois messages identiques via la plateforme DOP, menaçant d’utiliser frauduleusement les données si une rançon de 10 millions d’euros en cryptomonnaie n’était pas versée. Xavier Niel, fondateur de Free, a également reçu un message similaire sur son compte Telegram personnel.
Réaction de Free et communication
Face à cette menace, Free a immédiatement déposé plainte auprès du procureur de la République le 25 octobre 2024. Le tribunal judiciaire de Paris a ordonné à Telegram de fournir les informations permettant d’identifier le hacker, notamment les numéros de téléphone et adresses IP associés. Free a également informé ses abonnés concernés par e-mail, détaillant les données compromises et les mesures prises pour renforcer la sécurité de ses systèmes.
Intervention de la CNIL
Suite à cette violation de données, la Commission nationale de l’informatique et des libertés (CNIL) a effectué un contrôle chez Free la semaine du 4 novembre 2024. Ce contrôle visait à évaluer les mesures de sécurité mises en place par l’opérateur et à vérifier sa conformité au Règlement général sur la protection des données (RGPD). Les conclusions de ce contrôle sont en cours d’instruction, et la CNIL n’a pas encore communiqué publiquement ses observations finales.
Risques pour les personnes concernées
La fuite des IBAN expose les clients à des tentatives de phishing et à des prélèvements frauduleux. Les escrocs peuvent utiliser ces informations pour se faire passer pour des représentants de Free ou d’institutions financières, incitant les victimes à divulguer des informations supplémentaires ou à effectuer des paiements non autorisés. Il est donc crucial que les abonnés surveillent attentivement leurs relevés bancaires et signalent toute activité suspecte à leur banque.
Enseignements pour les responsables de traitement
Cet incident souligne l’importance pour les entreprises de mettre en place des mesures de sécurité robustes pour protéger les données personnelles. Les responsables de traitement doivent :
- Effectuer des audits réguliers des systèmes d’information pour identifier et corriger les vulnérabilités potentielles.
- Former le personnel aux bonnes pratiques de cybersécurité et aux protocoles de réponse en cas d’incident.
- Mettre en œuvre des mécanismes de surveillance pour détecter rapidement les activités suspectes et réagir de manière appropriée.
- Collaborer avec les autorités compétentes, telles que la CNIL et l’ANSSI, pour assurer une conformité réglementaire et bénéficier de conseils en matière de sécurité.
La cyberattaque subie par Free sert de rappel aux entreprises sur la nécessité de protéger les données personnelles de leurs clients. Une vigilance constante et des investissements appropriés en cybersécurité sont essentiels pour prévenir de telles violations et maintenir la confiance des consommateurs.