trois questions après la cyberattaque contre Free et la fuite de données bancaires
Free a été victime d’une cyberattaque majeure qui a entraîné un « accès non autorisé » à de nombreuses données personnelles de ses clients, dont leur IBAN.
Aucune entreprise n’est épargnée. Après SFR le mois dernier, c’est au tour de Free, deuxième fournisseur d’accès Internet en France, d’être touché par un piratage à grande échelle. L’opérateur a révélé samedi Le 26 octobre, les données de 19 millions de ses clients ont été volées, après « une cyberattaque visant un outil de gestion ». Free informera par email les abonnés concernés à partir de samedi. « Pas de mot de passe », « pas de carte de crédit », « aucun contenu de communications (emails, SMS, messages vocaux, etc.) » ne sont pas concernés par cette attaque, affirme dans un premier temps l’entreprise. Mais dans un deuxième email envoyé lundi à ses clients, Free a ajouté que l’IBAN associé au compte de l’abonné avait également fuité.
:quality(50)/2024/10/29/captrure-mail-free-ok-ok-6720f743544a3287590805.jpg)
Plus de 5 millions d’IBAN ont été exposés, selon SaxX, un expert en cybersécurité, qui se présente sur le réseau social X comme un « hacker éthique ». Pour lui, « nous sommes confrontés à l’un des piratages les plus importants pour un opérateur téléphonique en France depuis des années ! » « Ce n’est pas plus surprenant que ça » tempère Louis Allavena, consultant senior chez Rhapsodies Data Protection Consulting. « De manière générale, il est assez fréquent que les grandes entreprises, notamment celles des télécommunications, soient la cible de piratages informatiques. » analysee spécialiste.
1 Quels sont les risques encourus après la fuite de votre IBAN ?
Selon Louis Allavena, cette fuite de données bancaires « ce n’est pas le plus courant, mais ce n’est pas si incroyable. » Mais le spécialiste veut rassurer : « Avec un IBAN, vous ne pouvez pas récupérer d’argent, nous ne pouvons pas effectuer de transfert. Mais en croisant différentes données, on peut arriver à retirer de l’argent, à faire des achats… Ce sont toutes ces questions d’usurpation d’identité qui posent problème. » Si une personne malveillante dispose de données différentes, elle peut par exemple tenter de déjouer l’identification à deux facteurs, voire procéder à du phishing ou des tentatives de phishing.
« Le phishing est l’utilisation de données pour récupérer d’autres données et notamment des données un peu plus sensibles, se souvient Louis Allavena. Si j’ai votre numéro de téléphone, votre nom, votre adresse email, je peux vous envoyer des emails qui ressemblent par exemple à la Banque de France ou à l’Urssaf, vous demandant des informations complémentaires. Vous accédez au site qui ressemble exactement au site réel, mais qui n’est pas le même. Vous mettez vos informations et là j’aurai vos mots de passe ou vos numéros de carte », prévient le spécialiste. « Il n’y a pas de risque énorme, mais il ne faut pas laisser votre IBAN et autres informations à la portée de tous »conclut le spécialiste.
2 Que faire si vous êtes concerné par votre fuite d’IBAN ?
Louis Allavena conseille « d’appeler votre banque et de lui dire : ‘Je fais partie des personnes dont l’IBAN a été divulgué, pouvez-vous surveiller mon compte bancaire pour voir s’il n’y a rien d’un peu suspect.’ Pendant presque un an, dès qu’il y a quelque chose d’un peu suspect, ils vous appellent normalement pour vous dire que quelque chose de suspect s’est produit et vous demander si c’était vous. »souligne le spécialiste de la protection des données. « Après, c’est à vous de vérifier aussi que vous n’avez pas des sorties d’argent un peu impromptues. Sachant qu’au début, ça peut coûter quelques centimes à la personne pour vérifier si le compte est approvisionné et, après, c’est gros. » sommes qui peuvent sortir », ajoute-t-il.
Si de l’argent est prélevé sur votre compte et que vous n’en êtes pas l’auteur, il existe des dispositions légales qui vous protègent : « En France, vous disposez de treize mois pour vous faire rembourser un vol d’argent sur votre compte bancaire par la banque elle-même »précise Louis Allavena. « Si la banque en est consciente, le risque est minime. »
3 Plus généralement, que faire pour se protéger d’une fuite de données ?
La cyberattaque dont Free a été victime est loin d’être la seule et loin d’être la dernière. « Si vos données ont fuité, ce n’est pas à cause de Freesouligne Louis Allavena. La probabilité que vos données personnelles se trouvent déjà sur le dark web est énorme. » Selon lui, 80 % de la population française possède ses données personnelles sur le dark web.
« Free vient de le dire, avant lui SFR, Orange en a aussi été victime. Globalement, vos nom, prénom, date de naissance, numéros de téléphone et adresses email se trouvent sur le dark web.
Louis Allevana, consultant en protection des données chez Rhapsodies Conseilsur franceinfo
Free précise que‘ »Aucun mot de passe n’est affecté ». De quoi rassurer le spécialiste, pour qui le plus grave serait de voir son mot de passe dévoilé. « La solution c’est de changer son mot de passe. C’est embêtant, mais il faut avoir un mot de passe spécifique par sitesouligne-t-il. De cette façon, si vous en avez un qui fuit, il ne pourra pas être réutilisé pour les autres. » Plusieurs outils existent pour bien gérer vos mots de passe et assurer votre sécurité sur internet« comme choisir un mot de passe complexe ou utiliser un coffre-fort numérique ».
Pour Louis Allavena, il faut aussi « évitez de vous abonner à tout et à tout, comme toutes les newsletters qui existent sur internet »afin de ne pas diffuser de données personnelles. Enfin, il vous invite à faire preuve de bon sens, en vous méfiant des appels téléphoniques d’inconnus, en ne divulguant jamais votre mot de passe ni votre code de carte de crédit. Pour vérifier si votre numéro de téléphone ou votre adresse e-mail a été divulgué, vous pouvez visiter la section « Ai-je été pwned ? » (je me suis fait avoir, en français.)
