Pendant plus de dix ans, les abonnés Free Mobile ont pu se connecter automatiquement à internet via le réseau FreeWifi_Secure, diffusé par les Freebox. Bien que pratique et invisible, une faille de conception vient de sceller son arrêt définitif le 1er octobre 2025.
Une fuite d’identifiants sensibles
Un chercheur en cybersécurité a découvert que le protocole utilisé par FreeWifi_Secure, appelé EAP-SIM, exposait en clair un identifiant unique lié à chaque carte SIM : l’IMSI. Cet identifiant, normalement protégé, permet à l’opérateur de reconnaître ses abonnés. Le problème ? Il suffisait d’être à portée Wi-Fi d’une Freebox pour intercepter ces données avec seulement une carte réseau en mode moniteur et un logiciel comme Wireshark ou Kismet.
Résultat : n'importe qui pouvait collecter des IMSI et potentiellement tracer les déplacements des abonnés, voire exploiter ces informations dans des attaques plus avancées.
Un risque de traçage massif
Contrairement à un identifiant temporaire, l’IMSI ne change jamais. Sa fuite permet donc de suivre un utilisateur à la trace, de lier ses déplacements à son identité réelle, ou encore d’ouvrir la porte à des attaques via les réseaux de téléphonie. Ce type de surveillance est d’ordinaire réservé à des outils de renseignement, mais devenait ici accessible à beaucoup plus de monde. Même si la portée du Wi-Fi est limitée à une centaine de mètres, l’effet de masse était redoutable : des millions de Freebox anciennes diffusaient ce SSID, multipliant d’autant la surface d’attaque.
La réponse de Free
Alerté via une divulgation responsable, Free a reconnu la faille et choisi une mesure radicale : désactiver définitivement FreeWifi_Secure. Les Freebox récentes (Delta, Pop, Ultra) avaient déjà abandonné ce service, mais une mise à jour de firmware déployée à partir du 1er octobre 2025 coupe l’accès sur les modèles plus anciens.
Vie privée : un enjeu central
Au-delà de l’aspect technique, cette faille illustre un danger bien plus concret : la perte de confidentialité. Dans de mauvaises mains, un IMSI collecté devient un outil de surveillance permanente. Déplacements quotidiens, habitudes de vie, croisement avec d’autres bases de données… autant d’éléments qui érodent notre droit à la vie privée.
C’est pour cette raison qu’il est conseillé de compléter les protections de l’opérateur avec des outils de sécurité adaptés comme un antivirus pour Mac pour se prémunir des malwares, ou un antivirus pour iPhone pour bloquer les tentatives de phishing et sécuriser sa navigation. L’usage d’un VPN fiable permet également de chiffrer ses connexions et de limiter le pistage en ligne.
Ces logiciels n’empêchent pas les failles côté réseau, mais ils constituent une couche de défense supplémentaire pour préserver sa confidentialité au quotidien.
