21/11
Fuite massive chez Free : le hackeur révèle que les données des 19 millions d’abonnés et les 5 millions d’IBAN n’ont pas été vendus, et ne le seront pas
Impliqué dans le vol des données de Free, un deuxième hackeur assure aujourd’hui que ces dernières n’ont finalement pas été vendues comme initialement annoncé.
Encore du flou mais un possible ouf de soulagement pour les abonnés Free. Alors que ces derniers ont été informés par l’opérateur d’une fuite de leurs données incluant potentiellement 5 millions d’IBAN, un hacker impliqué de très près dans ce vol massif, remet en question la vente de ces données, pourtant annoncée par le cybercriminel qui a revendiqué le mois dernier l’attaque d’un outil de gestion de Free. Celui-ci avait indiqué avoir vendu à une tierce partie cette base de données 175 000 dollars, soit environ 160 000 euros.
Connus sous les pseudonymes de « drussellx » et « YuroSh », deux pirates seraient en realité les acteurs clés de cette affaire. Selon des informations recueillies par le site spécialisé DataBreaches, « YuroSh » soutient que les données n’ont finalement jamais été vendues, contrairement aux déclarations initiales de « drussellx ». YuroSh explique que leur objectif n’était pas le profit direct, mais de faire pression sur Free pour qu’il améliore la sécurité de ses infrastructures. Tandis que « drussellx » aurait envisagé l’extorsion, YuroSh dit être davantage animé par des préoccupations de transparence et de vie privée.
“Le 3 novembre, l’affaire a pris une tournure surprenante. DataBreaches a été contacté par une personne se présentant comme « YuroSh ». Il a affirmé être le pirate informatique responsable de la fuite de free.fr. « Je crois savoir que cette base de données a été présentée à la télévision française pendant des semaines, et j’aimerais clarifier quelques détails », a-t-il déclaré, en nous fournissant ce qui semblait être les informations personnelles de Xavier Niel (PDG de FREE) comme preuve préliminaire de son implication”, raconte le site spécialisé.
Interrogé, YuroSh a déclaré que son rôle avait été d’aider à exploiter la vulnérabilité. Le média lui a demandé de demander à drussellx d’envoyer un message privé à DataBreaches via BreachForums pour confirmer son implication. Ce dernier a confirmé que YuroSh était responsable du piratage, lequel l’assure aujourd’hui, les données n’ont jamais été vendues aux enchères ni vendues du tout – et elles n’allaient pas l’être.
Les deux hackers auraient d’ailleurs déjà signalé des failles de sécurité à Free dans le passé, sans obtenir de réponse satisfaisante. En 2022, la CNIL avait déjà condamné Free à une amende de 300 000 euros pour des carences en matière de protection des données, un contexte qui renforce l’attention autour de cette affaire de cyberattaque.