Piratage massif chez Free : des informations personnelles de dizaines de milliers de clients diffusées

Publié par le dans , | Consulté 31 Fois

par Claire BEZARD, étudiante du Master 2 Droit des communications électroniques

Le 28 octobre dernier, Free, deuxième opérateur de téléphonie en France, a été victime d’une attaque massive sur les données personnelles de ses abonnés Freebox et Free Mobile. Les données dérobées concernent : les noms, prénoms, adresses e-mail et postale, dates et lieux de naissance, numéros de téléphone, identifiants abonnés et données contractuelles mais également les informations bancaires de certains clients. 

Un groupe de hackers a revendiqué le piratage et a prétendu avoir en sa possession les informations de 19,2 millions d’abonnés Free dont 5 millions IBAN. Les clients concernés ont reçu un e-mail de Free signalant la cyberattaque. Toutefois, cette faille de sécurité inquiète grandement les abonnés mais aussi les experts en cybersécurité. Si la seule divulgation de l’IBAN n’est a priori pas dangereuse, elle peut néanmoins le devenir si elle est combinée à la fuite d’autres données comme l’identité ou le numéro de téléphone de la personne. Cela peut faciliter la création de faux mandats de prélèvements, une escroquerie en forte expansion ces dernières années. 

Que faire si vous êtes victime de piratage ?

Le principal risque est l’hameçonnage ou le phishing, c’est-à-dire les emails ou SMS frauduleux qui nous demandent de fournir des informations personnelles comme les numéros d’une carte bancaire. Si vous constatez avoir été victime d’un piratage impliquant vos données personnelles, signalez immédiatement l’incident à votre établissement bancaire, mais aussi sur le site www.cybermalveillance.gouv.fr. Prenez également des mesures préventives en changeant vos mots de passe ou en activant des dispositifs de double authentification. 

Le cadre juridique applicable en cas de violation de données 

Le Règlement Général sur la Protection des Données (RGPD) en vigueur dans l’Union européenne depuis le 25 mai 2018 établit un cadre strict pour protéger les données personnelles. 

Tout d’abord, la notion de donnée personnelle est définie comme « Toute information se rapportant à une personne physique identifiée ou identifiable ». Une personne est identifiée lorsqu’on peut directement la reconnaître grâce à son nom ou numéro de téléphone par exemple. En outre, une personne est identifiable lorsque l’on peut déterminer son identité indirectement, en croisant plusieurs informations moins évidentes comme les données bancaires ou une localisation. 

Le RGPD énonce que le principe est la responsabilité du responsable de traitement : les entreprises doivent garantir un niveau de sécurité adapté en mettant en œuvre des mesures techniques et organisationnelles appropriées pour protéger les données personnelles et ainsi être en mesure de démontrer que le traitement est effectué conformément au règlement. De cette manière, une entreprise ayant subi un piratage doit prendre des mesures correctives pour résoudre les vulnérabilités techniques ayant conduit à l’incident. 

Lors d’un piratage de données, il existe un certain nombre d’obligations. Lorsqu’une organisation subit un détournement impliquant des données personnelles, elle doit identifier la nature de la violation mais également identifier les personnes touchées. L’article 33 du RGPD impose au responsable de traitement de notifier toute violation de données à l’autorité compétente (CNIL) dans les meilleurs délais et, si possible, 72 heures après en avoir pris connaissance, sauf si la violation est peu susceptible d’engendrer un risque pour les droits et libertés des personnes physiques concernées. L’article 34 du même règlement impose également d’informer les personnes intéressées si la violation est susceptible de leur causer un risque élevé pour leurs droits et libertés, comme par exemple un risque de fraude bancaire. Le responsable de traitement doit communiquer la violation des données à caractère personnel dans les meilleurs délais, en des termes clairs et simples. 

En cas de non-conformité, la Loi Informatique et Libertés (LIL) du 6 janvier 1978 vient compléter le RGPD en précisant la mise en œuvre des sanctions à l’égard des entreprises. 

Pour aider les organisations à s’armer contre les piratages, plusieurs recommandations ont été publiés par la CNIL : tout d’abord renforcer la sécurité des systèmes d’information en passant par le chiffrement des données sensibles, la mise à jour régulière des logiciels et systèmes, une forte authentification pour les accès sensibles, et enfin sensibiliser les employés à la cybersécurité.

L’inévitable limite à la protection des données personnelles

Malgré les progrès considérables en matière de cybersécurité, il demeure impossible d’éliminer totalement les failles pouvant être exploitées lors de piratages de données personnelles. Ces vulnérabilités peuvent parfois résulter d’erreurs humaines comme par exemple avec un faible mot de passe, ou encore des faiblesses techniques comme des logiciels obsolètes ou des systèmes non mis à jour qui ouvrent la porte aux attaques. De plus, les cybercriminels sont en plein accroissement, ils perfectionnent leurs techniques pour contourner les mesures de protection existantes. Des méthodes telles que le phishing ou encore les ransomwares démontrent que même les dispositifs les plus sophistiqués ne sont pas infaillibles.

La réalité est que la sécurité absolue n’existe pas dans le domaine numérique. Chaque nouvelle technologie introduit de nouvelles opportunités mais aussi de nouveaux risques, faisant de la cybersécurité une course perpétuelle contre des adversaires déterminés. Face à ces menaces, il est essentiel d’adopter une approche méthodique reposant sur la prévention, la détection et une réponse rapide aux incidents.