Un hack d’ampleur chez le deuxième fournisseur d’accès à Internet de France. Dans un mail envoyé dans la nuit du vendredi 25 au samedi 26 octobre à ses clients, Free a confirmé avoir été la victime récente «d’une cyberattaque ciblant un outil de gestion». Selon l’opérateur mobile fondé par Xavier Niel, «cette attaque a entraîné un accès non autorisé à une partie des données personnelles» des abonnés dont les noms, prénoms, adresses mail et postales, dates et lieux de naissance, numéros de téléphone, identifiants abonnés et données contractuelles. Selon Free, les IBAN de certains clients Freebox sont aussi dans la nature.

En revanche, «aucun mot de passe», «aucune carte bancaire», «aucun contenu des communications (emails, SMS, messages vocaux…)» ne sont concernés, a assuré samedi midi l’entreprise auprès de l’AFP. En outre, «aucun impact opérationnel n’a été constaté sur [ses] activités et [ses] services», a ajouté Free, sans toutefois préciser l’ampleur ni la date de l’attaque.

Après n’avoir pas fait mention, dans un premier temps, du vol des coordonnées bancaires de certains de ses clients, Free a envoyé un second mail aux concernés (comme la loi l’y oblige), admettant finalement que certains IBAN ont été compromis, sans plus de détail. Interrogé par BFMTV, l’opérateur se borne à confirmer que les coordonnées bancaires de certains clients Freebox ont été dérobées.

Le hack avait été revendiqué en début de semaine sur un célèbre forum de revente de données volées. Dans un post, le vendeur y affirmait détenir les données de «tous les clients Free mobile et Freebox», soit «19,2 millions de clients» et les IBAN de 5,11 millions d’abonnés à Internet. Selon l’expert en cybersécurité SaxX_, qui avait publié à ce sujet sur son compte X mardi, la fuite daterait du 17 octobre et se diviserait en deux bases de données distinctes : les fiches clients et les IBAN. Le hacker présumé, furieux que Free ne fasse pas mention dans son premier mail d’avertissement de la fuite des IBAN, a ensuite mis en accès libre un échantillon de 100 000 d’entre eux pour prouver ses dires.

Les clients concernés sont donc appelés à surveiller leurs comptes et à être prudents dans les prochaines semaines. L’IBAN (International Bank Account Number) peut être détourné de plusieurs manières pour soutirer de l’argent à une victime. En utilisant cet identifiant associé à un compte bancaire avec d’autres données personnelles volées, les escrocs pourraient, par exemple, émettre des mandats de prélèvement frauduleux. Certains pourraient également se faire passer pour un conseiller bancaire ou pour une entreprise créancière en appelant les victimes du hack avec la somme d’informations récoltées sur elles.

De son côté, Free annonce avoir déposé une plainte auprès du procureur de la République et a notifié la Commission nationale de l’informatique et des libertés (Cnil) et à l’Agence nationale de la sécurité des systèmes d’information (Anssi). Le FAI rappelle que «l’auteur de ce délit s’expose à une peine de cinq ans d’emprisonnement et de 150 000 euros d’amende».

«Les abonnés concernés ont été ou seront informés par email d’ici peu», fait savoir l’opérateur, assurant que «toutes les mesures nécessaires ont été prises immédiatement pour mettre fin à cette attaque et renforcer la protection de nos systèmes d’information». Dans les jours à venir, le groupe invite ses clients «à la plus grande vigilance face au risque d’emails, SMS ou appels frauduleux».

Mise à jour le 28 octobre : à 17h30, avec d’avantage d’éléments sur le vol des IBAN.