Free a été « victime d’une cyberattaque visant un outil de gestion » ayant conduit à « un accès non autorisé à une partie des données personnelles associées aux comptes de certains abonnés », a annoncé samedi le deuxième opérateur téléphonique de France. Voici ce que nous savons.
Qu’a annoncé Free ?
Dans un email adressé à ses abonnés Free Mobile et Freebox, Free revient sur cette « cyberattaque » : elle « a conduit à un accès non autorisé à une partie des données personnelles associées à votre compte d’abonné : nom, prénom, adresses email et postale, date et lieu de naissance, numéro de téléphone, identifiant de l’abonné et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non) ».
« Aucun mot de passe », « aucune carte bancaire », « aucun contenu des communications (emails, SMS, messages vocaux, etc.) » ne sont concernés par cette attaque, dont ni la date ni l’étendue n’ont été précisées, a ajouté l’entreprise. « Aucun impact opérationnel n’a été constaté sur (ses) activités et (ses) services. »
Le nombre d’abonnés concernés n’est pas précisé. L’opérateur compte environ 20 millions d’abonnés en France (15 millions d’abonnés mobile et 5 millions d’abonnés fibre).
Comment Free a-t-il réagi ?
« Toutes les mesures nécessaires ont été prises immédiatement pour mettre fin à cette attaque et renforcer la protection de nos systèmes d’information », assure Free, et « une plainte pénale a été déposée auprès du procureur de la République ».
La Commission nationale de l’informatique et des libertés (Cnil) et l’Agence nationale de la sécurité des systèmes d’information (Anssi) ont été saisies, comme prévu par la loi. L’opérateur a mis en place un numéro vert, le 0 805 921 100, joignable de 9h à 18h.
Il y a un mois, son concurrent SFR annonçait avoir été touché par une cyberattaque similaire.
Et les IBAN ?
Dans certaines versions du mail envoyé aux abonnés – mais pas dans toutes – il est également précisé que les IBAN (pour « International Bank Account Number ») ont été volés. Ces codes étendus, présents sur les Relevés d’Identité Bancaire (RIB), identifient les titulaires des comptes et sont fournis par les clients lors de la souscription à un service de paiement.
« Communiquer son RIB n’est pas risqué en soi. En effet, pour qu’un bénéficiaire débite votre compte, vous devez l’autoriser en signant un mandat de prélèvement », rappelle la Banque de France sur son site.
Faut-il être prudent ?
« Nous vous invitons à être extrêmement vigilants quant aux risques d’emails, SMS ou appels frauduleux. Attention, nos conseillers ne vous demanderont jamais vos mots de passe oralement », rappelle Free à ses abonnés. Dans tous les cas, il faut redoubler de vigilance face aux campagnes de phishing de plus en plus fréquentes.
Parmi les premières choses possibles à faire, changer le mot de passe de votre compte Free, même si officiellement il n’a pas été volé. De même, vous pouvez vous assurer que la double authentification est active pour accéder à votre compte. Celui-ci associe le mot de passe à un code de sécurité envoyé par SMS sur votre téléphone.
Concernant l’IBAN – qui ne peut être modifié que si vous fermez votre compte – il est recommandé aux clients de surveiller leurs relevés bancaires et de suivre les frais inhabituels. Si un tel retrait a lieu, alors même que vous n’avez signé aucun mandat, la banque sera tenue de vous rembourser.
