28/10
Fuite de données chez Free : provocateur, le hacker met en ligne gratuitement 100 000 IBAN supposés appartenir aux abonnés de l’opérateur
Le pirate à l’origine du vol des données personnelles d’abonnés Free persiste et signe. Il détiendrait bel et bien les IBAN de 5,11 millions de clients. Face à l’absence de communication de l’opérateur à ce sujet, le cybercriminel diffuse gratuitement un échantillon. Reste à savoir si ces données sont authentiques ou non.
La fuite de données personnelles d’abonnée Free prend une nouvelle tournure. Si l’opérateur a confirmé ce vendredi 25 octobre, avoir être victime d’une cyberattaque entraînant le vol de certaines données de ses abonnés, il n’a pas cependant pas dévoilé l’ampleur de de cette fuite, tout en restant muet sur les millions d’IBAN que prétend détenir le hacker.
Tôt ce matin, à 4h30, le cybercriminel a diffusé gratuitement un échantillon de 100 000 IBAN sur un site de vente du dark web, surnommé le “Amazon de la cybercriminalité”. Ce ne serait donc qu’un avant-goût des 5,11 millions qui seraient en sa possession, ce qui constituerait l’une des cyberattaques les plus importantes jamais enregistrées contre un opérateur téléphonique français.
Selon le hacker éthique SaAX, ce nouveau coup de force du pirate fait suite à une communication de Free qu’il jugerait insuffisante et peu transparente. En effet, Free a déclaré qu’aucun mot de passe ni carte bancaire n’ont été dérobés mais sans mentionner la compromission des IBAN, un oubli que le hacker semble avoir perçu comme une occasion de réagir. Le cybercriminel a même accompagné cet échantillon d’IBAN partagé d’une image symbolique reprenant la couverture du livre de Xavier Niel, « Une sacrée envie de foutre le bordel », laissant entendre que son intention est de semer le trouble pour l’opérateur.
Des données sensibles mises en vente pour 70 000$
Après avoir initialement mis la base de données aux enchères avec un prix de départ à 10 000€, le pirate l’a maintenant placée en vente au prix fixe de 70 000$. “J’ai donné la possibilité à Free SAS d’acheter sa propre base de données en une seule vente jusqu’à présent pour éviter des conséquences très dramatiques et inquiétantes pour tous ses clients, mais sans aucune réponse de leur part pour l’instant”, indique le hacker.
Le risque pour les clients de Free semble désormais tangible, et cet échantillon de 100 000 IBAN ne laisse rien présager de bon. Ces informations ouvrent la porte à des utilisations malveillantes (ex : usurpation d’identité). “Pour qu’un bénéficiaire prélève votre compte, vous devez l’en autoriser en signant un mandat de prélèvement. Par ailleurs, si vous constatez un prélèvement non autorisé, il est possible de le contester auprès de votre banque, qui devra remettre votre compte dans l’état où il se serait trouvé avant cette opération”, indique de son côté la Banque de France, le risque est donc réduit. Il est toutefois conseillé de vérifier son compte bancaire très régulièrement.
Plusieurs questions essentielles demeurent en suspens, notamment l’ampleur réelle de la fuite, Free devra confirmer que ces millions d’IBAN revendiqués sont bien authentiques, ou démentir. Dans les deux cas, les abonnés attendent un éclaircissement.