quels risques pour les abonnés ?

Voir mon actualité
Suivre l’actualité

« C’est probablement l’année de la violation des données », noteactu.frJean-Jacques Latour, directeur de l’expertise cybersécurité de la plateforme Cybermalveillance.gouv.fr. Après les mutuelles, la Caf, l’État, et plus récemment SFR, il y a quelques jours, mi-octobre 2024, l’opérateur téléphonique Free a été victime d’une cyberattaque majeure.

Selon le « gentil hacker » SaxX, les données de près de 20 millions de clients, ainsi que les coordonnées IBAN de plus de 5 millions d’autres clients sont actuellement en vente en ligne, sur « l’Amazon de la cybercriminalité ». Des chiffres que Free, contacté à de nombreuses reprises par actu.frJe n’ai pas voulu confirmer.

L’entreprise de Xavier Niel a néanmoins prévenu ses clients dans un mail, listant les principaux éléments que le hacker aurait récupéré, à savoir :

• nom ;
• prénom ;
• adresses e-mail et postales ;
• Date et lieu de naissance ;
• numéro de téléphone;
• identifiant d’abonné;
• données contractuelles (type d’offre souscrite, date de souscription, souscription active ou non).

Des millions d’IBAN volés

Quelques heures plus tard, l’opérateur téléphonique envoie un autre email, précisant que les IBAN étaient également concernés par la fuite de données. « Une obligation légale liée au règlement RGPD », intervient Jean-Jacques Latour.

Un IBAN est l’identifiant, presque la plaque d’immatriculation, d’un compte bancaire. Un numéro unique donc et étroitement lié à la banque. D’où les inquiétudes légitimes qui peuvent naître de ce vol de données. Mais « pas de panique », selon l’expert.

La seule chose que vous pouvez faire avec cela est un prélèvement automatique SEPA. Un prélèvement contre lequel on peut s’opposer. Ce qui peut faire peur, c’est que ce n’est pas à vous d’en informer la banque. C’est le créancier qui contacte la banque avec un IBAN comme « justificatif ».

Cependant, les chances d’être facturé de cette manière sont assez faibles : « Il faut avoir une entreprise agréée, et remplir quelques formulaires, l’IBAN ne suffit pas. Surtout, la banque informe son client avant le début du prélèvement. De quoi nous alerter et tout arrêter », explique l’expert en cybersécurité.

Il ajoute en souriant : « Et si un prêt à la consommation est souscrit, ce qui n’est pas évident, alors il arrive sur votre compte, auquel l’escroc n’a pas forcément accès. Alors d’accord… »

Contactée, la Fédération bancaire française confirme : « il est possible de contester un prélèvement lorsqu’il a été débité de votre compte. En cas de litige concernant un prélèvement SEPA non autorisé, c’est-à-dire pour lequel vous n’avez pas signé de mandat de prélèvement, vous pouvez le contester sans délai et au plus tard dans un délai de 13 mois à compter de la date de prélèvement. (…) Votre banque devra alors rembourser le montant débité. »

En toute logique, la FBF recommande de surveiller l’activité de son compte et de contester si un retrait suspect a lieu : « le remboursement des retraits est inconditionnel dans un délai de huit semaines, indépendamment de l’existence ou non d’un mandat de prélèvement ».

Le vol de données personnelles, le « vrai danger »

Tout bien considéré, il n’y a pas vraiment de raison de s’inquiéter concernant l’IBAN. Tout comme les données personnelles, le vol constitue un danger, mais un danger indirect.

Pour l’instant, 100 000 IBAN liés au hack Free ont déjà été « mis à disposition » Tout de suite. Une vente est organisée et le voleur demande 70 000 $. « S’il ne se vend pas, il baissera les prix. Il peut aussi finir par tout donner», note l’expert. Une manière pour le pirate d’améliorer sa réputation.

Le danger dans ce type d’entreprise est que les escrocs ont davantage de possibilités de se faire passer pour un véritable conseiller. Banque ou téléphone.

« Un escroc peut très bien appeler en disant ‘Je suis votre banque’, en confirmant avec vous le numéro de compte, la date de souscription, etc. Cela peut légitimer une campagne de phishing », remarque Jean-Jacques Latour.

Escrocs « limités »

De plus, Free assure qu’« aucun de vos mots de passe n’est affecté ». L’opérateur assure que « toutes les mesures nécessaires ont été prises immédiatement pour mettre fin à cette attaque et renforcer la protection de nos systèmes d’information ». Et en fait, c’est là le véritable risque : que des escrocs très crédibles appellent et lancent des campagnes de phishing massives vous ciblant.

Il faut se rendre compte qu’avec le nombre de fuites de données survenues ces derniers mois, l’IBAN existe probablement depuis longtemps. Nom, prénom, numéro de téléphone, adresse email… Tout cela circule depuis un moment. Vous avez 9 chances sur 10 de le rencontrer.