Free a été “victime d’une cyberattaque ciblant un outil de gestion”, entraînant “un accès non autorisé à une partie des données personnelles associées aux comptes de certains abonnés”, a confirmé, ce samedi 26 octobre, le deuxième opérateur de téléphonie en France à l’AFP.
“Aucun mot de passe”, “aucune carte bancaire”, “aucun contenu des communications (emails, SMS, messages vocaux…)” ne sont concernés par cette attaque, dont ni la date ni l’ampleur n’ont été précisées, a ajouté l’entreprise. “Aucun impact opérationnel n’a été constaté sur (ses) activités et (ses) services”.
“Une plainte pénale a été déposée auprès du Procureur de la République”, indique Free. La Commission nationale de l’informatique et des libertés (Cnil) et à l’Agence nationale de la sécurité des systèmes d’information (Anssi) ont été notifiées, comme le prévoit la loi.
“Les abonnés informés par email d’ici peu”
“Les abonnés concernés ont été ou seront informés par email d’ici peu”, a fait savoir l’opérateur mobile fondé par Xavier Niel, qui assure que “toutes les mesures nécessaires ont été prises immédiatement pour mettre fin à cette attaque et renforcer la protection de nos systèmes d’information”.
Le 22 octobre, le “hacker rennais éthique”, SaxX, avait publié à ce sujet sur le réseau social X. Selon le spécialiste en cybersécurité, la fuite remonterait au 17 octobre et concernerait deux bases de données distinctes : les fiches clients et les IBAN.
L’internaute assurait qu’un premier fichier de plus de 43 gigaoctets concernait près de 19 millions de comptes clients. On y retrouvait leurs noms, prénoms, numéros de téléphone, dates de naissance et adresses mail. Encore plus problématique : le hacker affirmait qu’une seconde base de données contiendrait des données bancaires (IBAN) de 5,1 millions d’abonnés. Dans les deux cas, il s’agirait de comptes Free Mobile et Freebox.
🚨🔴CYBERALERT, 🇫🇷FRANCE 🔴 | 19M de comptes et 5M d’IBAN de l’opérateur téléphonique Free mis en vente sur le “Amazon de la cybercriminalité”
Hier nuit, un cybercriminel a mis en vente deux bases de données supposées appartenir à Free :
👉 l’une comportant 19 192 948 de comptes… pic.twitter.com/24lgxXsoWv— SaxX ¯\_(ツ)_/¯ (@_SaxX_) October 22, 2024
Le 19 septembre, un autre opérateur, SFR, avait fait l’objet d’une fuite de données de ses clients, dont des coordonnées bancaires, suite à ce qu’il avait qualifié d'”incident de sécurité portant sur un outil de gestion des commandes de ses clients”. Le groupe n’avait pas précisé le nombre total de clients affectés par cette fuite, mais a confirmé qu’elle avait touché des abonnés classiques ainsi que des abonnés à son offre “Red by SFR”.
Source