Free : et si les données n’avaient pas été vendues ?

Le 22 octobre, un utilisateur d’un forum bien connu des cybercriminels annonçait disposer de données personnelles de millions de clients de l’opérateur Free. Il disait chercher à les vendre au plus offrant. Au total, plus de 19 millions de clients (fixe et mobile) seraient concernés, jusqu’à leur IBAN pour plus de 5 millions d’entre eux.

Free confirmera l’attaque quelques jours plus tard en informant ses clients concernés individuellement par e-mail. Le 29 octobre, le pirate assurera avoir réussi à vendre lesdites données pour 175 000 $. Mais ce n’est peut-être pas le cas.

Selon Zataz, le pirate en question, utilisant le pseudonyme de drussellx, serait français. Le 3 novembre, l’un de ses acolytes a contacté Databreaches. Il se présente sous le pseudonyme YuroSh. Drussellx confirmera plus tard, par message privé sur le forum en question, officier avec lui. Avant cela, YuroSh avait fourni des informations personnelles présentées comme relatives à Xavier Niel pour appuyer ses allégations. 

Mais voilà : selon YuroSh, les données volées à Free n’auraient pas été vendues. Selon Databreaches, « YuroSh et drussellx avaient des priorités différentes quant à l’usage qu’ils feraient des données, mais aucun d’entre eux ne voulait vraiment vendre les données des gens ou les divulguer. Drussellx aurait voulu extorquer Free et aurait utilisé le post de mise aux enchères et le post “vendu” pour essayer de faire pression sur Free afin qu’il paie l’extorsion ». 

Pour YuroSh, la motivation serait autre. À Databreaches, il explique ainsi que « chaque citoyen français a probablement été leaked au moins une fois », et d’énumérer toute une série de récentes brèches de données dans l’Hexagone : « je ne suis pas un saint, mais j’espère que l’incident Free.fr va finalement ouvrir les yeux des personnes françaises sur la réalité de la surveillance de masse et lutter contre. La vie privée a été tellement érodée en France qu’elle est pratiquement inexistante ».

Pour lui, « la situation va au-delà d’une simple brèche, c’est un problème systématique enraciné dans un gouvernement déterminé à imposer un état de surveillance ». Et de faire notamment référence à la surveillance biométrique mise en place pour les JO 2024 : le 3 octobre, Public Sénat rapportait que l’exécutif voulait généraliser cette vidéosurveillance algorithmique.

Illiad n’a pas répondu aux sollicitations de Databreaches relatives aux allégations de YuroSh sur les données des clients de Free et sur celles attribuées à son patron, Xavier Niel. 

Dans un échange privé avec la rédaction, YuroSh a précisé avec exploité une vulnérabilité dans une API. Il a concédé que « Free a une sécurité tout à fait convenable pour qui ne creuse pas trop, mais ils sont lents à répondre ». Pour lui, la multiplication des dispositifs de surveillance et des bases de données associées ne fait qu’augmenter le risque de brèches. Aussi, il « recommande que les entreprises conduisent des audits de sécurité et des recherches de vulnérabilités, réguliers, pour identifier les faiblesses dans leurs systèmes, si elles veulent vraiment savoir ce qui se passe ». 

YuroSh dit enfin parfois conserver les données piratées, parfois les supprimer. Dans le cas de celles de Free : « je ne sais pas encore ».