Cela pourrait être le dernier rebondissement dans l’affaire de la cyberattaque à grande échelle contre Free. Interrogé par un site spécialisé, l’un des deux hackers à l’origine de ce hack a révélé que les données siphonnées n’ont finalement pas été revendues. Le but de cette attaque est tout autre…
Une lueur d’espoir pour les abonnés Free ? Alors que les victimes de la cyberattaque viennent d’apprendre que la CNIL ne les aidera pas à porter plainte, l’un des hackers responsables de l’incident s’est exprimé sur cette fuite massive de données. Selon lui, les données volées n’ont jamais été revendues, contrairement à ce qui avait été affirmé la semaine dernière.
A lire aussi :
Piratage gratuit : le formulaire de réclamation abandonné, les consignes pour protéger vos droits
Nous pouvons reprendre notre souffle
Contacté par le site spécialisé Violations de données » YuroSh » a souhaité » clarifier certains détails » à propos de la cyberattaque gratuite. Pour prouver son implication, le hacker envoie même à ses interlocuteurs des informations personnelles sur Xavier Niel ainsi que des échanges de messages avec un deuxième hacker avec qui il a réalisé cette opération, « drussellx ».
Jusqu’alors, on pensait que le fichier contenant les données personnelles de plus de 19 millions de clients, dont 5,1 millions d’IBAN, avait été adjugé 175 000 dollars sur « l’Amazon de la cybercriminalité ». Selon YuroSh, ces données n’ont jamais été vendues, les hackers ayant d’autres objectifs en tête.
Pour Drussellx, ce hack devait servir à extorquer Free en obligeant l’opérateur à racheter ces données. Mais YuroSh, dont le profil se rapproche davantage de celui d’un « hacktiviste », a plutôt voulu dénoncer les récentes politiques de surveillance globale en France. Rappelons que le gouvernement entend généraliser et pérenniser la vidéosurveillance algorithmique (VSA), qui était à l’origine une mesure de sécurité temporaire lors des Jeux olympiques.
La France est devenue le premier pays d’Europe à légaliser la surveillance biométrique, prétendument pour la sécurité publique lors d’événements majeurs comme les Jeux olympiques. (…) Il ne s’agit pas de sécurité publique, mais de normalisation progressive de la surveillance de masse.
YuroSh
Ces précisions arrivent très tard. Rappelons que le piratage de Free a eu lieu le 17 octobre dernier, soit il y a une vingtaine de jours. Les hackers attendaient probablement que l’incident soit davantage médiatisé pour obliger Free à revoir la sécurité de ses infrastructures et sa conformité au RGPD, mais aussi pour faire passer leur message.
Je ne suis pas un saint, mais j’espère que l’incident de Free réveillera enfin les Français à la réalité de la surveillance de masse et qu’ils lutteront contre elle. (…) Je déteste la surveillance et je pense que la seule façon de les réveiller est de les pirater. Sinon, les choses ne changent pas.
YuroSh
On peut remettre en question le discours, on peut aussi remettre en question la façon dont les choses se font. Rien ne dit que cette cyberattaque puisse changer quoi que ce soit concernant le VSA.
Or, il est indéniable que ces hackers nous ont bel et bien « réveillés » sur la vulnérabilité de nos données et le manque de moyens que certaines entreprises utilisent pour les protéger. Free a rejoint une longue liste de victimes de ces manquements, après les attentats de SFR, France Travail, EDF, Boulanger, Cultura, etc…
A lire aussi :
Free et SFR Piratage : faites-vous partie des personnes concernées ?
Des hackers avaient déjà alerté Free sur ses failles de sécurité
Outre ces précisions, YuroSh révèle avoir signalé des failles de sécurité à Free il y a deux ans. Des signaux apparemment ignorés, car les hackers auraient « envoyé des millions de demandes sur plusieurs semaines« . Et ce après que l’opérateur du groupe Iliad a été condamné par la CNIL pour non-protection des données personnelles.
Pourtant, la fuite des données personnelles de millions de clients et la divulgation en ligne de 100 000 IBAN sont bien réelles. Lorsqu’on lui demande ce qu’il adviendra de ces données, YuroSh répond qu’il envisage de les conserver ou de les détruire. Rien n’est sûr, la prudence reste donc de mise.
A lire aussi :
IBAN volé : quels sont les risques en cas de fuite de vos coordonnées bancaires en ligne ?