Il y a quelques jours je découvre sur mon flux un tweet de SaxX ¯\_(ツ)_/¯ (je vous invite à le suivre) indiquant la découverte d’une importante violation de données chez Free. Cette attaque de l’un des plus grands opérateurs télécoms français, expose les données personnelles de millions de clients. Cette violation met en évidence les vulnérabilités des infrastructures de nos entreprises de télécommunications. Les fournisseurs d’accès Internet traitent d’énormes volumes de données client sensibles.
D’après les informations que j’ai pu glaner à gauche et à droite, l’attaque a compromis les données liées d’environ 19 millions de clients et un peu plus de 5 millions d’IBAN dont les abonnés de Free Mobile et Freebox. Les informations volées incluraient plus de cinq millions d’IBAN associés aux comptes Freebox. Même si aucun mot de passe, détail de carte de crédit ou contenu de communication (comme les SMS ou les e-mails) n’a été compromis, les attaquants ont pu accéder à des informations personnelles substantielles, qui pourraient toujours être exploitées à des fins de phishing et d’usurpation d’identité.
L’attaque a été rapidement identifiée par Free, qui a immédiatement déposé une plainte pénale auprès des autorités françaises. Les organismes de contrôle, dont la Commission nationale de l’informatique et des libertés (CNIL) et l’Agence nationale de la sécurité des systèmes d’information (ANSSI), ont également été mandatés pour superviser l’incident et faire respecter les normes de protection des données.
L’impact de l’attaque
A première vue, on se dit que les données volées ne sont pas super importantes. Et pourtant, je l’avais expliqué dans un précédent article, le phishing reste une des premières failles et avec ce genre de données accessibles gratuitement il sera facile de réaliser du spear phishing.
Les IBAN exposés ont immédiatement soulevé des inquiétudes quant à une éventuelle utilisation abusive. Beaucoup n’imagine pas les possibilités pour un attaquant ayant ce genre de donnée. Bien que les IBAN ne fournissent pas à eux seuls un accès direct aux comptes bancaires, ils peuvent être utilisés pour lancer des prélèvements automatiques non autorisés s’ils sont combinés avec d’autres informations compromises. Free a assuré aux clients que les banques sont tenues de rembourser les prélèvements frauduleux, à condition que les clients les signalent dans un délai de 13 mois. Néanmoins, l’ampleur de la violation de données signifie qu’un grand nombre de clients peuvent désormais être confrontés au risque d’attaques de phishing ciblées. Avec des informations personnelles telles que les coordonnées entre les mains d’acteurs malveillants, ces tentatives de phishing pourraient être très convaincantes, en exploitant les détails connus des clients pour inciter les individus à divulguer des informations encore plus sensibles.
Réponse de Free et mesures de sécurité
La réponse de Free a été rapide, avec un engagement à enquêter sur la violation, à renforcer son cadre de sécurité et à remédier à l’impact de l’incident sur sa clientèle. L’opérateur télécom a également promis de renforcer ses défenses (bon à voir ce qu’ils feront réellement) pour éviter des incidents similaires à l’avenir. Surtout, ils ont indiqué que les clients concernés par la violation seraient informés par e-mail, garantissant ainsi que les personnes concernées sont conscientes des risques potentiels et restent attentives aux activités suspectes sur leurs comptes. On le rappelle c’est une obligation légale de le faire !
Si vous êtes client Free, je vous conseille de prendre quelques mesures de sécurité :
- Surveillez vos relevés bancaires : vérifiez régulièrement vos relevés bancaires pour détecter toute transaction inhabituelle ou non autorisée. Signalez immédiatement toute activité suspecte à votre banque et profitez des garanties de remboursement de la banque pour les débits non autorisés.
- Soyez prudent avec la communication : étant donné que le phishing constitue un risque probable à la suite de cette violation, soyez prudent avec les e-mails, SMS ou appels téléphoniques demandant des informations personnelles ou des informations sur votre compte. Les pirates utilisent souvent des détails familiers pour créer des messages réalistes mais frauduleux.
- Changer vos mots de passe : Même si les mots de passe ne semblent pas avoir été compromis, c’est toujours une bonne chose de le faire.
- Activer le 2FA : A voir si Free le propose, n’étant pas client chez eux je n’ai pas pu le vérifier mais sinon activez-le.
Rien ne sert de crier au loup, Free vient de se faire avoir, mais cela peut arriver à n’importe quelle entreprise. La sécurité zéro n’existe pas et bon nombre d’entreprises sont susceptibles de se faire avoir.
Si l’article vous a plu et si vous aimez mon travail, vous pouvez faire un don en suivant ce lien :
