Vol de données chez Free : Le pirate annonce avoir revendu les informations

cyberattaque•Après avoir revendiqué le vol, le pirate informatique aurait trouvé un acheteur pour les données dérobées de quelque 19 millions de clients

Des boutiques des opérateurs Free et SFR à Paris le 28 février 2023. C'est l'opérateur Free qui est concerné par le vol massif de données dernièrement. - C.Simon/H.Lucas/AFP

20 Minutes avec AFP

Publié le 30/10/2024 à 14h36 • Mis à jour le 30/10/2024 à 14h40

Il prétendait être en possession des données personnelles de plus de 19 millions de clients. Le pirate qui avait récemment mis en vente les données de l’opérateur de téléphonie Free affirme désormais les avoir bel et bien vendues, a confirmé mercredi un expert en cybersécurité à l’AFP.

Selon un message posté en ligne sur un forum dédié, le fichier aurait ainsi été acheté pour la somme de 175.000 dollars (environ 160.000 euros), a indiqué à l’AFP Damien Bancal, expert en cybersécurité et auteur du blog zataz.com. Contacté par l’AFP, Free n’a pas souhaité faire de commentaire.

Noms, adresses et mêmes des Iban

Le vol de données, revendiqué mi-octobre, a été confirmé par Free. L’opérateur mobile et fournisseur d’accès a commencé vendredi à contacter par mail les clients concernés, indiquant avoir été « victime d’une cyberattaque ciblant un outil de gestion » qui « a eu pour conséquence un accès non autorisé à une partie des données personnelles associées aux comptes de certains abonnés ».

Les données en question contiennent notamment les noms, prénoms, adresses mail et postales, date de naissance des clients, ainsi que leur Iban (numéro international de compte bancaire) pour 5,1 millions d’entre eux, selon le pirate. Aucun mot de passe ni carte bancaire ne sont concernés. Si les prélèvements à partir d’Iban volés restent difficiles, il existe toutefois des moyens de contourner ces restrictions.

Des recommandations pour les clients Free

L’Observatoire sur la sécurité des moyens de paiement recommande de « vérifier régulièrement » et de « mettre à jour dans votre espace de banque en ligne la liste des créanciers autorisés ou interdits ».

Une contestation de prélèvement peut se faire « au plus tard dans les 13 mois à compter de la date de débit », stipule la Fédération bancaire française, un délai « ramené à 70 jours lorsque l’établissement du bénéficiaire du paiement se situe en dehors de l’Union européenne ou de l’Espace économique européen ».