Deux bases de données contenant respectivement les informations de 19 192 948 comptes clients et 5,11 millions de coordonnées IBAN ont été mises en vente.
Dans un e-mail envoyé à ses abonnés le vendredi 25 octobre, Free a confirmé avoir été victime d’une cyberattaque ayant ciblé l’un de ses outils de gestion. « Cette attaque a entraîné un accès non autorisé à certaines données personnelles associées à votre compte abonné : nom, prénom, adresses e-mail et postale, date et lieu de naissance, numéro de téléphone, identifiant abonné, et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non). Aucun de vos mots de passe n’est concerné », a précisé l’entreprise.
Le hacker éthique SaxX a révélé sur Twitter la mise en vente, par un pirate, de deux bases de données supposément appartenant à des abonnés Mobile et Freebox. La première contient les données de 19 192 948 comptes clients et la seconde, 5,11 millions d’IBAN de clients de l’opérateur téléphonique. Free n’a pas mentionné cette exfiltration de données bancaires dans son e-mail adressé aux clients. Depuis, certains abonnés ont été avertis. « Le cybercriminel appelle les intéressés à négocier avec lui en utilisant un système d'escrow – un système permettant de garantir la transaction ! Un échantillon a été fourni, en plus de captures d'écran... », explique-t-il. Un échantillon de 100 000 IBAN a été révélé par le cybercriminel.
Vol d’IBAN : quel risque pour les victimes ?
À noter que l’IBAN seul ne permet pas de voler de l’argent. En revanche, les cybercriminels les plus ingénieux peuvent l’utiliser pour contracter des prêts auprès de banques peu rigoureuses en matière de vérification d’identité.
Dans le cas de Free, Les Numériques alerte également sur le risque de SIM Swapping, une technique consistant à voler la carte SIM d’une victime en trompant un conseiller de l’opérateur grâce aux informations volées. Le pirate demande alors une carte eSIM correspondant au numéro de téléphone de la victime, lui permettant de modifier des mots de passe, recevoir des SMS et contourner les mesures de sécurité des applications bancaires.
Conformément à la loi, Free a pris les mesures nécessaires pour contenir l’attaque et protéger ses systèmes d’information. La CNIL et l’ANSSI ont été notifiées, et une plainte a été déposée auprès du procureur de la République.