© Bloomberg/Getty Images
– Les IBAN de plus de 5 millions de clients ont été volés.
Données de 19,2 millions Clients gratuits ont été compromis. Mi-octobre, un cyberhacker a volé les données de la plupart des 22,8 millions d’abonnés de l’opérateur mobile français. Le 30 octobre, il annonce les avoir vendus pour 175 000 dollars (environ 160 000 euros). Selon le pirate informatique, le fichier contenait principalement des données personnelles : noms, dates de naissance, numéros de téléphone, emails et adresses postales des clients. 5,1 millions d’IBAN (numéro de compte bancaire international) serait affecté.
Pour se justifier, Free a expliqué qu’il avait été « victime d’une cyberattaque contre un outil de gestion » Chi « a entraîné un accès non autorisé à certaines données personnelles associées aux comptes de certains abonnés ». Un échantillon des données a été publié par le pirate informatique après le vol.
Piratage gratuit : quels risques pour vos données bancaires ?
Comment savoir si vous avez été piraté ?
Free a contacté directement les abonnés concernés lors d’une première vague d’e-mails envoyés le 25 octobre. Dans ces emails, l’opérateur mobile précise la nature des données volées « associé (au) compte de l’abonné : nom, prénom, adresses email et postale, date et lieu de naissance, numéro de téléphone, identifiant de l’abonné et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou moins)« . L’opérateur le précise“Aucun mot de passe n’est affecté”. Cybermalveillance.gouv précise que, conformément au Règlement Général sur la Protection des Données (RGPD), « Free doit informer individuellement toutes les personnes concernées par cette violation de données personnelles »
Quels sont les risques pour les victimes de ce type de piratage ?
Suite à la cyberattaque, les victimes sont particulièrement exposées au risque de retraits non autorisés. Rassurez-vous, il est difficile de retirer de l’argent sur un compte bancaire avec un IBAN. La Banque de France l’explique “communiquer votre RIB (relevé bancaire comprenant l’IBAN) n’est pas risqué en soi (…) Pour qu’un bénéficiaire débite votre compte, vous devez l’autoriser en signant un mandat de prélèvement.”
Toutefois, l’Observatoire de la sécurité des moyens de paiement recommande toujours « vérifier régulièrement » e di « mettez à jour la liste des prélèvements des créanciers autorisés ou interdits dans votre espace bancaire en ligne ». Je recommande également Cybermalveillance.gouv « demander à votre banque le remboursement des transactions que vous n’avez pas effectuées, ainsi que la suppression de l’autorisation de prélèvement en question, le cas échéant ». Le site du gouvernement recommande également d’informer votre banque « la communication de votre IBAN pour placer le compte concerné sous surveillance renforcée ».
La Fédération Bancaire Française rappelle qu’il est possible de déposer un litige au prélèvement « au plus tard dans les 13 mois suivant la date de débit ». Le terme est raccourci à « 70 jours lorsque l’établissement du bénéficiaire du paiement est situé en dehors de l’Union européenne ou de l’Espace économique européen ».
Autres risques à surveiller : “hameçonnage” et le « tentatives d’escroquerie ou d’usurpation d’identité, détournement de lignes de téléphonie mobile » précise Cybermalveillance.gouv. Pour ce faire, vous devez être vigilant aux tentatives de phishing par email ou par téléphone, ne pas fournir de mot de passe et ne valider aucune transaction bancaire à la demande d’un conseiller.
Quel recours avez-vous après avoir été piraté ?
Les victimes de la cyberattaque peuvent déposer une plainte à la CNIL (Commission Nationale de l’Informatique et des Libertés) s’ils estiment que leurs données personnelles ne sont pas suffisamment protégées par Free. Si les informations volées sont utilisées, les personnes concernées peuvent déposer plainte auprès du commissariat de police ou de la brigade de gendarmerie.
De son côté, Free l’a indiqué « Cette attaque a été notifiée à la CNIL et à l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Une plainte pénale a également été déposée auprès du procureur de la République.» a déclaré l’opérateur téléphonique dans un email aux abonnés.
Chaque jour, la sélection de informations principales du jour.
