Un mineur de 16 ans serait-il à l’origine du vol des données de près de 20 millions d’abonnés de l’opérateur Free ? Un adolescent soupçonné d’avoir réclamé 10 millions d’euros de rançon à Xavier Niel a été mis en examen mercredi 15 janvier au soir à Paris. Arrêté lundi dans l’Essonne, selon une source proche du dossier, ce lycéen déjà soupçonné dans plusieurs affaires de piratage informatique a été déféré devant un juge d’instruction parisien puis placé en centre éducatif par un juge des libertés et de la détention.
Le 21 octobre, la base de données Free, couvrant 19,2 millions de clients français, soit la majorité des 22,8 millions d’abonnés de l’entreprise, « dont 5,11 millions incluant un numéro IBAN, a été mis aux enchères par un hacker sur un forum cybercriminel »a rappelé le procureur de la République, qui avait confié l’enquête à la Brigade de lutte contre la cybercriminalité (BL2C) de la préfecture de police. Le fichier contenait des données personnelles, telles que leur adresse, leur numéro de téléphone ou leur email.
L’adolescent est soupçonné d’avoir pénétré les serveurs de Free via des failles de sécurité d’un employé de l’entreprise. Le fichier de données a été revendu 20 000 euros et le mineur a empoché la moitié de la somme, selon une autre source proche du dossier.
Le mineur est également accusé de tentative d’extorsion contre Xavier Niel, fondateur de Free : il est soupçonné de lui avoir demandé 10 millions d’euros en cryptomonnaies dans un message considéré comme une demande de rançon, en échange de la restitution du dossier, qui le milliardaire a refusé. Mi-novembre, la justice a ordonné à la messagerie Telegram de révéler l’identité du hacker qui avait utilisé la plateforme pour faire pression sur le président du groupe Iliad.
Dans le détail, ce lycéen né en janvier 2008 a été mis en examen pour diverses infractions relatives à un système de traitement automatisé de données (accès et maintenance frauduleux ; introduction frauduleuse de données ; détention frauduleuse de données ; extraction frauduleuse de données), mais aussi pour collecte de données. données personnelles par des moyens frauduleux ou encore dissimulation d’une atteinte à un système de traitement automatisé de données.
-Sport 2000 et piratage des comptes Twitter du groupe Altice
Le parquet de Paris avait déclaré plus tôt dans la journée que ce mineur “Identifié comme l’auteur de cette fuite était déjà sous contrôle judiciaire, ayant été arrêté en juin dans une affaire de fuites de données clients, notamment de Sport 2000, et de piratage des comptes Twitter du groupe Altice (RMC, BFMTV)”. Selon la source proche du dossier, il a également été placé en garde à vue en décembre mais sans être poursuivi, pour d’autres fuites de données concernant d’autres sociétés.
L’avocat du prévenu, Me Camille Lucotte, a déclaré « très surpris qu’il soit le seul concerné dans cette affaire, alors qu’il est clairement un acteur secondaire et que l’auteur principal est clairement identifié par les enquêteurs ». « Mon client est prêt à coopérer avec la justice » a-t-elle ajouté, critiquant l’accusation qui « diverse les procédures, multiplie les perquisitions et les détentions successives pour des faits connexes ».
« Ils nous ont fait confiance en portant plainte et ils ont tout compris ! Merci Gratuit»a de son côté salué sur LinkedIn, en référence au slogan de l’entreprise, la vice-procureure Johanna Brousse, cheffe de la section de lutte contre la cybercriminalité. « Plus que jamais, nous devons renforcer la cyberprévention auprès des jeunes. » a-t-elle ajouté.
Entre septembre et fin novembre, outre Free, Auchan, SFR, la plateforme de streaming Molotov, Truffaut, Cultura, Boulanger et Le point ont tous confirmé la fuite des données personnelles de leurs utilisateurs. Soit plusieurs dizaines de millions de personnes concernées, clients ou utilisateurs, dont les adresses email, postales, et parfois les Ibans, sont revendues en ligne par des pirates.
