Free victime d’une cyberattaque : 100 000 IBAN exposés

L'opérateur télécom français Free est une nouvelle fois au cœur de la tourmente. La semaine dernière, un cybercriminel affirmait détenir les données personnelles de 19 millions de clients Free, dont 5 millions d'IBAN. Si l'opérateur a d'abord minimisé l'incident en évoquant une simple cyberattaque sur un « outil de gestion », il a dû se résoudre à admettre l'ampleur de la fuite après la publication par le hacker de 100 000 IBAN. Un nouveau coup dur pour Free, déjà victime de plusieurs incidents de sécurité ces derniers mois.

Une communication lacunaire de Free

Dans un premier temps, Free a envoyé un mail à ses clients les informant d'un « accès non autorisé » à certaines de leurs données suite à une cyberattaque. Étaient concernés leurs noms, prénoms, adresses postales et e-mails, dates et lieux de naissance, identifiants et informations contractuelles. Mais aucune mention des données bancaires.

Le pirate a alors réagi en diffusant plus de 100 000 IBAN sur un forum spécialisé, prouvant qu'il détenait bien ces informations sensibles. Acculé, Free a finalement admis dans un second mail que des IBAN figuraient aussi parmi les données dérobées, pour certains clients comme les abonnés Freebox.

Des clients exposés aux fraudes bancaires

Cette fuite expose les clients Free à de multiples risques d'escroquerie :

• Usurpation d'identité pour souscrire à de faux contrats
• Prélèvements bancaires frauduleux
• Hameçonnage ciblé se faisant passer pour l'opérateur

Pour s'en prémunir, il est conseillé de surveiller ses comptes, de ne jamais communiquer ses informations bancaires par téléphone et de mettre en place auprès de sa banque une liste blanche des prélèvements autorisés.

Série noire pour la sécurité des données chez Free

Ce n'est malheureusement pas la première fois que Free connait des problèmes de protection des données :

• En février, un mail d'avertissement identique avait déjà été envoyé aux clients
• Début octobre, une faille permettait à certains abonnés de consulter les factures d'autres clients

Les opérateurs télécoms sont une cible de choix pour les cybercriminels, au vu de la sensibilité et du volume des données qu'ils détiennent sur leurs clients.

SFR a aussi été touché fin septembre, avec le vol des données bancaires de clients RED. Aux États-Unis, AT&T a subi plusieurs fuites massives et écopé d'une amende de 13 millions de dollars.

Free doit renforcer sa cybersécurité

Suite à cette nouvelle cyberattaque, Free assure avoir déposé plainte et notifié la CNIL et l'ANSSI comme l'exige le RGPD en cas de fuite de données. Mais au-delà de ces démarches, l'opérateur va devoir sérieusement revoir sa politique de sécurité informatique pour :

• Mieux protéger les accès à ses bases de données clients, en segmentant et chiffrant les informations les plus critiques comme les IBAN.
• Former ses équipes aux bonnes pratiques de développement et d'exploitation sécurisés.
• Renforcer la détection des intrusions sur son système d'information pour réagir au plus vite.
• Auditer régulièrement ses fournisseurs et sous-traitants qui peuvent constituer le maillon faible.

Car une chose est sûre : les attaques ciblant les opérateurs ne sont pas près de s'arrêter, vu la valeur des données qu'ils concentrent. Il en va de la confiance des clients et de la réputation de marque. Free doit réagir vite pour corriger ses vulnérabilités, avant qu'un incident encore plus grave ne survienne.