Plusieurs mois après le piratage massif chez Free, les données compromises sont désormais référencées sur le site « Have I Been Pwned ». Les abonnés peuvent enfin savoir si leurs informations personnelles ont été exposées.
Ah ben super (ce sont mes données qui font bien partie de la base piratée de Free)
Une fuite massive issue d’un piratage interne
En octobre dernier, Free a subi une cyberattaque de grande ampleur. Ce n’est pas un simple piratage externe : les attaquants ont bénéficié de l’aide d’un complice interne pour accéder à un outil de gestion client. Résultat, les données de 19 millions d’abonnés ont été exfiltrées, dont 5 millions d’IBAN. L’incident, longtemps resté sans suite concrète pour les clients, refait surface aujourd’hui avec une nouvelle étape : l’intégration des données volées sur la plateforme « Have I Been Pwned ».
Have I Been Pwned ajoute Free à sa base de données
Le site Have I Been Pwned, bien connu pour permettre aux internautes de vérifier si leurs données personnelles ont été compromises, vient d’ajouter les données issues de l’attaque contre Free. Le chercheur Troy Hunt, à l’origine du projet, explique que les informations ont fini par circuler librement sur le dark web, après avoir été mises en vente sur plusieurs forums. C’est ce qui lui a permis de récupérer l’ensemble des fichiers pour les indexer.
En chiffres, la fuite représente 14 millions d’adresses e-mail, coordonnées, dates de naissance, numéros de téléphone et IBAN. Selon Hunt, 59 % des données étaient déjà présentes sur la plateforme, preuve que certains utilisateurs avaient déjà été victimes d'autres fuites. Il s’agit donc d’une redite partielle, mais avec une ampleur franchement inédite.
Légalité contestée en Europe
Comme le rappelle nos confrères de chez 01net, l’ajout de ces données à Have I Been Pwned soulève une problématique légale. En France et dans l’Union européenne, consulter des données issues d’une fuite, même à des fins de vérification, est interdit. Le RGPD considère qu’il s’agit d’un traitement illégal de données personnelles, faute de consentement explicite. Pour la CNIL, la diffusion même indirecte de ces informations reste une infraction. Le chercheur Clément Domingo rappelle que ce type de service, bien qu’utile, est techniquement hors la loi sur le territoire européen.
Comment vérifier si vous êtes concerné
Pour savoir si votre adresse e-mail figure dans la fuite, il suffit donc de la saisir (en toute illégalité donc) sur Have I Been Pwned. Le site indiquera si elle a été compromise et dans quel contexte. Il précisera aussi les données associées (adresse, nom, IBAN). En cas de piratage confirmé, il est recommandé de changer immédiatement ses mots de passe et de surveiller ses relevés bancaires. Il est aussi possible de s’inscrire à l’alerte automatique du site pour être notifié en cas de future fuite.
