Free : l'opérateur victime d'une vaste cyberattaque, les données de plusieurs millions de clients dérobées
-
Fuite de données Free : voici un exemple concret d’arnaque bancaire avec votre IBAN
La fuite de données qui a suivi la cyberattaque contre l’opérateur Free a laissé échapper des millions d’IBAN. Des prélèvements peuvent être effectués à votre insu par des entreprises peu scrupuleuses.
Depuis qu’elle a été rendue publique, la fuite de données de l’opérateur Free a largement fait le tour de médias. Le fournisseur d’accès à Internet français a informé ses abonnés le 28 octobre qu’une liste contenant des noms, prénoms, dates et lieux de naissance, numéros de téléphone, identifiants abonnés et IBAN ont été dérobés par un cybercriminel.
La base de données a été mise en vente sur un célèbre forum de hackers. On rappelle que les informations d’identification (nom, adresse mail) peuvent être réutilisées pour des campagnes de phishing, en usurpant une banque ou Netflix.
L’IBAN est peut-être encore plus intéressant, s’il est couplé à d’autres infos. Dans un précédent article, Benoit Grunemwald, expert en cybersécurité chez ESET, nous avait expliqué que « des sociétés peu scrupuleuses se livrent à des malversations pour faire souscrire à des abonnements frauduleux à partir de cet IBAN. »
Comment s’y prendrait-elle ? Jonathan, photographe et passionné de tech, a présenté la manœuvre sur le réseau social X (ex-Twitter) et nous l’a expliquée.
Comment une entreprise peut vous prélever de l’argent avec votre IBAN ?Si on devait résumer la manipulation en une phrase : une entreprise peut automatiser des prélèvements depuis votre compte, via la plateforme de paiement professionnel Stripe (l’exemple utilisé ici), et à partir d’un simple IBAN.
Quelques conditions existent naturellement :
le client Stripe doit fournir un numéro Siret, mais cette première mesure est facilement contournable puisque n’importe qui peut créer son entreprise ou passer un accord avec une société déjà existante. Dans ce cas précis, Jonathan a utilisé celui de son entreprise.
La seconde étape est probablement la plus simple :
Le client Stripe créé un lien de paiement sur Stripe, intègre le numéro IBAN et réalise le prélèvement. C’est aussi facile que ça. L’intéressé a testé avec son propre compte bancaire, en lançant des paiements à hauteur de 90 centimes.
Il suffit de donner l’IBAN de la « cible » sur Stripe. // Source : Jonathan / Photographe
Il suffit de donner l’IBAN de la « cible » sur Stripe. // Source : ZojoDès que la banque est informée du mandat de prélèvement, un paiement sera effectué à partir de votre compte bancaire. Concrètement, l’argent sera prélevé, mais l’entreprise ne pourra pas y toucher tant que le débiteur n’a pas accepté le mandat de prélèvement. Notons qu’il y a un délai de sept de jours pour confirmer ou non l’authenticité du paiement.
Dans le cas de Jonathan, 90 centimes ont bien été prélevés sur son compte.
Le prélèvement de 90 centimes sur le compte bancaire. // Source : Zojo
Le prélèvement de 90 centimes sur le compte bancaire. // Source : ZojoÀ priori, vous êtes donc averti que l’on vous retire de l’argent. Mais il existe encore une fois des moyens de camoufler la procédure. « On peut donner n’importe quelle information d’identité sur Stripe. Il n’est pas possible de se faire passer directement pour une autre entreprise, mais une organisation malveillante peut très bien donner un autre nom similaire », nous explique Jonathan.
Un cybercriminel pourrait se présenter comme l’entreprise « Freee » pour piéger des internautes peu attentifs.
Des victimes de prélèvements illégaux à partir d’un IBANCe mode opératoire a déjà utilisé, notamment dans un cas célèbre impliquant la SFAM, aujourd’hui nommée Indexia. Cette société d’assurance souscrit des prélèvements à l’insu des personnes qui ont récemment acheté des produits technologiques.
Une organisation malveillante qui chercherait à dérober des fonds de la même manière pourrait parfaitement automatiser des milliers de paiements, et miser sur les quelques victimes qui n’auraient pas fait preuve de vigilance.
Selon les applications bancaires, il est possible de configurer et bloquer des mandats de prélèvements. Soyez prudent et méfiant quant aux notifications de prélèvements, c’est souvent dans ces moments où l’on fait le moins attention que l’on se fait piéger.
Rappelons aussi que le hacker a gardé secret l’ensemble de la base de données pour les acheteurs malveillants. Vous ne saurez pas donc si vous êtes concerné par la fuite sur des sites comme haveibeenpwned, mais vous serez normalement prévenu par Free.
-
@arcturien a dit dans Free : l'opérateur victime d'une vaste cyberattaque, les données de plusieurs millions de clients dérobées :
vous ne saurez pas donc si vous êtes concerné par la fuite sur des sites comme haveibeenpwned, mais vous serez normalement prévenu par Free.
Perso, étant client Free et n’ayant reçu aucun mail de leur part (mon collègue oui), je me pose la question.
Ne l’ai-je pas reçu car Free omettrai volontairement ou non de m’avertir?
Je suis un trop vieux client (+ de 15 ans) et peut être non concerné par la BDD volée (plus récente ?)Bon dans le doute, je porterai plainte via la CNIL et j’ai déjà prévenu par email mon conseiller bancaire de faire attention aux prélèvements, même si je sais pertinemment qu’aucun contrôle ne sera fait de leur part, ils seront prévenu en cas de plaintes…
Sinon il restera la solution de fermer son compte et d’en ouvrir un autre.
-
Sérieux c’est un scandale… Les clients vont-ils porter plainte en mode “recours groupé” pour être dédommagés par Free?
-
@7cf148fd a dit dans Free : l'opérateur victime d'une vaste cyberattaque, les données de plusieurs millions de clients dérobées :
Sérieux c’est un scandale… Les clients vont-ils porter plainte en mode “recours groupé” pour être dédommagés par Free?
Je pense qu’il va y en avoir… Trop énorme…
-
et comment qu’on va porter plainte !
-
Porter plainte pour quel motif d’abord?
L’IBAN n’est pas un document secret et d’ailleurs vous n’avez jamais été averti par votre établissement bancaire de ne pas communiquer votre IBAN, mais seulement vos codes secrets de moyens de paiement.
S’il y a une tentative de fraude au paiement par prélèvement, la faute de l’acceptation est pour votre banque.
Je suis dans une banque qui est très attentive aux mouvements incongrus. -
on ne porte pas plainte à cause de l’IBAN mais pour insuffisance ou à tout le moins de légèreté dans la protection des données personnelles.
-
@arcturien a dit dans Free : l'opérateur victime d'une vaste cyberattaque, les données de plusieurs millions de clients dérobées :
on ne porte pas plainte à cause de l’IBAN mais pour insuffisance ou à tout le moins de légèreté dans la protection des données personnelles.
Tout à fait !!
Ce genre de donnée devrait être à minima chiffrée… -
-
@7cf148fd a dit dans Free : l'opérateur victime d'une vaste cyberattaque, les données de plusieurs millions de clients dérobées :
Sérieux c’est un scandale… Les clients vont-ils porter plainte en mode “recours groupé” pour être dédommagés par Free?
On est pas au usa, ça fonctionne pas comme ça chez nous
-
@Ashura a dit dans Free : l'opérateur victime d'une vaste cyberattaque, les données de plusieurs millions de clients dérobées :
@7cf148fd a dit dans Free : l'opérateur victime d'une vaste cyberattaque, les données de plusieurs millions de clients dérobées :
Sérieux c’est un scandale… Les clients vont-ils porter plainte en mode “recours groupé” pour être dédommagés par Free?
On est pas au usa, ça fonctionne pas comme ça chez nous
Bien sûr que si, c’est possible…
https://www.conseil-etat.fr/vos-demarches/je-suis-un-particulier/actions-collectives -
@Pluton9 a dit dans Free : l'opérateur victime d'une vaste cyberattaque, les données de plusieurs millions de clients dérobées :
Je suis dans une banque qui est très attentive aux mouvements incongrus.
ba j’aimerais bien savoir laquelle
Car pour moi et mon collègue, la première réponse a été :on a pas de liste blanche de prélèvement, tout est accepté par défaut et c’est à vous de surveiller les mouvements bancaires !!!
Crédit Mutuel0 réponse
Caisse d’ÉpargneLOL
-
@Violence Crédit Coopératif
Ça fait plusieurs fois que la banque m’envoie des demandes de confirmation.
Une banque qui accepterai un prélèvement frauduleux, est responsable du mouvement et de ses répercutions. -
@Violence a dit dans Free : l'opérateur victime d'une vaste cyberattaque, les données de plusieurs millions de clients dérobées :
on a pas de liste blanche de prélèvement, tout est accepté par défaut et c’est à vous de surveiller les mouvements bancaires !!!
Donc si je comprends bien, c’est à toi d’aller toutes les 5 minutes vérifier sur ton compte qu’il n’y a aucun mouvement suspect et d’y faire opposition…
Ben à quoi ils servent eux, à te pomper ton fric (à défaut d’autre chose) et démerde toi pour le reste ? -
@BahBwah a dit dans Free : l'opérateur victime d'une vaste cyberattaque, les données de plusieurs millions de clients dérobées :
@Violence a dit dans Free : l'opérateur victime d'une vaste cyberattaque, les données de plusieurs millions de clients dérobées :
on a pas de liste blanche de prélèvement, tout est accepté par défaut et c’est à vous de surveiller les mouvements bancaires !!!
Donc si je comprends bien, c’est à toi d’aller toutes les 5 minutes vérifier sur ton compte qu’il n’y a aucun mouvement suspect et d’y faire opposition…
Ben à quoi ils servent eux, à te pomper ton fric (à défaut d’autre chose) et démerde toi pour le reste ?Tout à fait…
Des toquards en somme, une banque quoi… -
@Pluton9 a dit dans Free : l'opérateur victime d'une vaste cyberattaque, les données de plusieurs millions de clients dérobées :
@Violence Crédit Coopératif
Ça fait plusieurs fois que la banque m’envoie des demandes de confirmation.
Une banque qui accepterai un prélèvement frauduleux, est responsable du mouvement et de ses répercutions.Merci pour ta réponse !
En effet, elle est responsable, seulement si tu te plains non ?
Il n’en n’est pas moins que les réponses apportées par ses 2 banques très connues sont inadmissible, tout en sachant que la deuxième n’a même pas daigné répondre à l’email.Devant tant de condescendance et de non réponse de la part des conseillers, j’ai décidé de changer de banque.
-
Fuite des données chez Free : finalement, les abonnés ne pourront pas porter plainte via un formulaire dédié
Face aux nombreuses victimes de la cyberattaque de Free, un formulaire en ligne devait être mis en place la semaine dernière pour aider à porter plainte. Le projet n’est finalement plus d’actualité.
Les abonnés Free touchés par la fuite de données de Free ne disposeront pas d’un outil facilitant le dépôt de plainte. C’était pourtant un projet annoncé par la CNIL sur son site web, mais la mention a finalement disparu de la page dédiée au piratage de Free.
Le site cybermalveillance.gouv.fr, interrogé par 01net, a pour sa part confirmé que l’idée de ce formulaire en ligne « n’était plus d’actualité depuis la semaine dernière », sans expliciter les raisons derrière cette décision.
Un tel formulaire, nommé “lettre plainte” avait pourtant été mis en place pour d’autres cyberttaques. Si vous êtes abonné Free et victime de cette fuite de données, vous pouvez, si vous le désirez, initier une action en justice. Dans le cas où vous estimez que l’opérateur n’a pas suffisamment protégé vos données personnelles, vous pouvez porter plainte contre Free devant la CNIL et si vous constatez des utilisations frauduleuses de vos données personnelles, vous pouvez vous rendre dans un commissariat ou une gendarmerie pour porte plainte.
-
Ben bravo la CNIL
-
Circulez les gueux, y a plus rien à voir et démerdez-vous tous seuls…
-
@Violence a dit dans Free : l'opérateur victime d'une vaste cyberattaque, les données de plusieurs millions de clients dérobées :
En effet, elle est responsable, seulement si tu te plains non ?
En effet. Ceci dit, faudra que tu m’indiques les entreprises qui s’impliquent volontairement sans plainte préalable dans la reconnaissance d’une responsabilité financière quelle qu’elle soit… Je n’en connais guère personnellement.
De là, une plainte n’est pas nécessaire. Il suffit d’indiquer à l’établissement financier ses responsabilités dans le cas d’une fraude et là, miraculeusement, sentant le vent du boulet, le dit établissement devient tout mielleux.
Pour infos, ce sont les articles L133-18 à L133-24 du Code Monétaire et Financier qui ont un intérêt dans cette échange.