Free, l’un des principaux fournisseurs d’accès à Internet (FAI) en France, a confirmé ce week-end que des pirates informatiques avaient piraté ses systèmes et volé les informations personnelles de ses clients.
La société, qui affirme compter plus de 22,9 millions d’abonnés mobiles et fixes à fin juin, est la deuxième entreprise de télécommunications en France et une filiale du Groupe Iliad, sixième opérateur mobile européen en nombre d’abonnés.
Free a depuis déposé une plainte pénale auprès du procureur de la République et a notifié l’incident à la Commission Nationale de l’Informatique et des Libertés (CNIL) et à l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI).
« Les abonnés concernés ont été ou seront informés par email prochainement », a déclaré un porte-parole de Free à Breachtrace , ajoutant qu ‘ » aucun impact opérationnel n’a été observé sur nos activités et services « et » toutes les mesures nécessaires ont été prises immédiatement pour mettre fin à cette attaque et renforcer la protection de nos systèmes d’information. »
Free a ajouté que l’attaque visait un outil de gestion qui exposait les données des abonnés. Cependant, les attaquants n’ont pas réussi à accéder aux mots de passe des clients, aux informations de carte bancaire et au contenu des communications (y compris « e-mails, SMS, messages vocaux, etc. »).
Les données volées lors de l’attaque sont maintenant vendues aux enchères sur BreachForums au plus offrant, l’acteur de la menace—connu sous le nom de « drussellx »—affirmant que la violation touche près d’un tiers de la population française.
« La violation de données affecte 19,2 millions de clients et contient plus de 5,11 millions de numéros IBAN. Elle concerne tous les clients Free Mobile et Freebox, et inclut les IBAN des 5,11 millions d’abonnés Freebox », précise l’acteur de la menace.
Ils ont également fourni une archive contenant certaines des données prétendument volées, des captures d’écran et des en-têtes de base de données comme preuve que les données mises aux enchères sont légitimes.
Comme preuve supplémentaire, l’auteur de la menace a déclaré qu’il était également disposé à laisser des clients potentiels rechercher la base de données volée pour s’assurer que « l’intégralité de la base de données qui a été récupérée » est à vendre.
Concernant les IBAN (Numéros de comptes bancaires Internationaux) volés, Free affirme que les attaquants ne pouvaient voler que ceux de certains abonnés fixes et qu’ils ne sont « pas suffisants pour effectuer un prélèvement automatique auprès d’une banque. »
« Si les abonnés constatent néanmoins un prélèvement inhabituel, ne correspondant à aucune date et aucun montant de facture connu, leur banque est tenue de les rembourser. Ils ont 13 mois pour signaler le prélèvement automatique frauduleux », a déclaré Free,
« Nous les invitons également à être vigilants contre les tentatives d’hameçonnage. Ne communiquez jamais vos codes d’accès ou votre carte bancaire que ce soit par email, SMS ou lors d’un appel. »
Un porte-parole de Free n’a pas encore fourni plus d’informations sur la date à laquelle l’incident a été détecté et sur le nombre de clients touchés par la violation après avoir été contacté par Breachtrace pour plus de détails plus tôt dans la journée.