Coordonnées, IBAN, téléphone… Ce que l’on sait des données volées à l’opérateur Free

L’opérateur Free a communiqué, dans un email envoyé à certains de ses clients, le détail des données personnelles volées lors d’un piratage dont il a fait l’objet. Dans un message consulté lundi 28 octobre par Le Mondel’entreprise explique que cet accès frauduleux a exposé de nombreuses données personnelles de clients : « Nom, prénom, adresses email et postale, numéro de téléphone, identifiant de l’abonné, IBAN et données contractuelles (type d’offre souscrite, date de souscription, souscription active ou non). »

Le 21 octobre, sur le site BreachForums (l’un des principaux espaces d’achat et de vente de données volées), un internaute non identifié a revendiqué le vol. Un échantillon de la base de données, mis aux enchères sur le forum, montre clairement les adresses postales, les numéros de téléphone et les identifiants IBAN, ainsi que des données sur le type de forfait souscrit par les victimes de ce hack. Le nombre de personnes concernées reste toutefois flou : si le hacker affirme que plusieurs millions d’abonnés Free sont concernés, l’opérateur (propriété du groupe Iliad, dont le fondateur, Xavier Niel, est actionnaire individuel du Monde), n’a pas encore donné d’indication sur le nombre de clients ou anciens clients concernés par cette attaque.

Free promet qu’aucun mot de passe n’a été volé, et que les données des cartes bancaires des clients n’ont pas non plus été affectées. Cependant, l’IBAN peut être utilisé à mauvais escient de plusieurs manières pour soutirer de l’argent à une victime. Certains fraudeurs, utilisant cet identifiant associé à un compte bancaire, peuvent par exemple émettre des mandats de prélèvement frauduleux. Une autre arnaque consiste à effectuer un virement à la victime (par exemple en utilisant un moyen de paiement frauduleux) puis à invoquer une erreur et à demander un remboursement.

Free a annoncé samedi avoir déposé plainte auprès du procureur de la République, ainsi qu’avoir saisi la Commission nationale de l’informatique et des libertés (CNIL) et l’Agence nationale de la sécurité des systèmes d’information (Anssi), après une « cyberattaque » visant un « outil de gestion ». Contactée, l’entreprise n’a pas répondu aux demandes de Monde au moment de la publication de cet article.