Il y a deux mois, Free a été victime d’une cyberattaque. Les cybercriminels ont réussi à s’emparer des données de 19 millions d’abonnés et de cinq millions d’adresses IBAN. L’opérateur de Xavier Niel a rapidement confirmé qu’un « outil de gestion » a été visé. L’intrusion a entraîné « accès non autorisé » aux données clients. Free n’a pas donné davantage de détails sur les circonstances du piratage.
Quelques semaines après les faits, le chercheur en cybersécurité Clément Domingo a levé le voile sur la manière dont les hackers sont parvenus à leurs fins. L’expert indique “tant d’informations” lui ont été communiqués.
A lire aussi : retour sur les 10 cyberattaques qui ont marqué la France en 2024
Un complice de la fuite de données de Free
Après « enquêtes et recoupements »le chercheur peut affirmer que la cyberattaque est basée sur un complice interne. En effet, un agent du service client Free, à savoir le service de proximité Free Proxi et Free Back Office, aurait donné ses identifiants OpenVPN à une tierce personne. Il se pourrait que ce tiers ne soit autre que le hacker.
Comme le souligne Clément Domingo, les agents du service Libre ont accès à « 2 bases de données et 2 outils de diagnostic »à savoir Mobo pour les abonnés Free Mobile et Siebel pour les clients Freebox. Ces informations et ces outils sont indispensables pour aider les abonnés Free qui rencontrent des problèmes avec leurs forfaits.
Pour accéder à ces bases de données, les agents doivent se connecter à ordinateurs du service informatique libre. Il n’est pas possible pour les agents de consulter les données personnelles des clients sur leurs appareils personnels. Il s’agit d’une mesure de sécurité. De plus, « cela permet de travailler dans une zone prédéfinie en fonction de leur zone d’habitation pour assurer un service de proximité de qualité »explique le chercheur.
Le déroulement de l’attaque
L’accès OpenVPN a servi de porte d’entrée au système informatique Libre. Le VPN permet aux employés d’accéder aux ressources internes de l’entreprise, telles que les bases de données et les outils de diagnostic. En disposant des informations d’identification OpenVPN, le cybercriminel peut se connecter au réseau sécurisé comme s’il était un employé autorisé. Notez que les informations d’identification VPN compromises font partie des points d’entrée préférés des pirates informatiques, en particulier des criminels ransomwares.
Muni du compte de son complice, le hacker est entré en contact avec “plusieurs autres agents libres” se faisant passer pour le service informatique. Ayant accès aux ressources internes, il a pu orchestrer une attaque d’ingénierie sociale. De toute évidence, il a manipulé les agents libres pour obtenir leurs identifiants. Certains agents sont tombés dans le piège. C’est ainsi que le cybercriminel a réussi à dérober une montagne de données personnelles sur les abonnés Free.
Free prend des précautions
Dans le cadre de cette attaque, les identifiants OpenVPN ont permis à l’attaquant d’apaiser la méfiance de ses cibles. Le VPN facilite également le travail des collaborateurs en leur permettant de travailler à domicile. Suite à cette fuite de données à grande échelle, Free a suspendu la possibilité d’accéder aux données des salariés en télétravail. Vous devez être sur place pour consulter les informations personnelles des clients du groupe.
De plus, Free a révoqué tous les accès compromis, avant de générer de nouveaux identifiants. Selon le chercheur, la fuite était connue » en interne bien avant les annonces publiques ». Quoi qu’il en soit, la fuite des données personnelles des abonnés Free s’est accompagnée d’une explosion d’arnaques. De nombreux cybercriminels utilisent les données pour orchestrer des escroqueries. Le plus souvent, ils se font passer pour des conseillers clientèle.
Dans le même -, Free faisait l’objet d’une montagne de plaintes auprès de la Commission nationale de l’informatique et des libertés (CNIL). Interrogé par Ouest-France, Mathias Moulin, secrétaire général adjoint de la CNIL, indique que le régulateur a reçu « plus de 2 000 plaintes à ce stade » suite à la cyberattaque. L’enquête de la CNIL se poursuit.
Pour ne manquer aucune actualité de 01net, suivez-nous sur Google News et WhatsApp.
