Cybersécurité : trois questions après la cyberattaque contre Free et la fuite de données bancaires

Aucune entreprise n'est épargnée. Après SFR le mois dernier, au tour de Free, deuxième fournisseur d'accès à internet en France, d'être touché par un piratage de grande ampleur. L'opérateur a révélé samedi 26 octobre que les données de 19 millions de ses clients ont été dérobées, après "une cyberattaque ciblant un outil de gestion". Free en informe les abonnés concernés par mail dès samedi. "Aucun mot de passe", "aucune carte bancaire", "aucun contenu des communications (mails, SMS, messages vocaux...)" ne sont concernés par cette attaque, affirme l'entreprise dans un premier temps. Mais dans un second mail envoyé lundi à ses clients, Free ajoute que l'IBAN associé au compte abonné a également fuité.

Plus de 5 millions d'IBAN ont été exposés, selon SaxX, un expert en cybersécurité, qui se présente sur le réseau social X comme un "hacker éthique". Pour lui, "on est en face d'un des piratages les plus importants pour un opérateur téléphonique en France depuis des années !" "Ce n'est pas plus surprenant que ça", tempère quant à lui Louis Allavena, consultant senior chez Rhapsodies Conseil en protection des données. "Globalement, c'est assez récurrent que des grandes entreprises, en particulier des télécoms, soient la cible de piratage", analyse le spécialiste. 

1 Quels risques sont encourus après la fuite de son IBAN ?

Selon Louis Allavena, cette fuite de données bancaires "n'est pas la plus commune, mais ce n'est pas si incroyable." Mais le spécialiste tient à rassurer : "Avec un IBAN, on ne peut pas récupérer d'argent, on ne peut pas faire de virement. Mais en croisant différentes données, on peut se débrouiller pour retirer de l'argent, pour faire des achats... Ce sont toutes ces questions d'usurpation d'identité qui posent problème." Si une personne malveillante possède différentes données, elle peut par exemple essayer de déjouer l'identification à double facteur, ou encore faire des tentatives d'hameçonnage ou phishing.

"Le phishing, c'est l'utilisation de données pour en récupérer d'autres et en particulier des données un peu plus sensibles, rappelle Louis Allavena. Si j'ai votre numéro de téléphone, votre nom, votre adresse mail, je peux vous envoyer des mails qui ressemblent trait pour trait à, par exemple, la Banque de France ou l'Urssaf, en vous demandant des informations complémentaires. Vous allez sur le site qui ressemble exactement au vrai site, mais qui n'est pas le même. Vous mettez vos informations et là j'aurai vos mots de passe ou vos numéros de carte", prévient le spécialiste. "Il n'y a pas un risque énorme, mais il ne faut pas laisser son IBAN et d'autres informations à la portée de tout le monde", conclut le spécialiste.

2 Que faire si vous êtes concerné par la fuite de votre IBAN ?

Louis Allavena conseille "d'appeler sa banque et de lui dire : 'Je fais partie des gens dont l'IBAN a fuité, pouvez-vous surveiller mon compte en banque pour voir s'il n'y a pas des choses un peu suspectes.' Pendant presque un an, dès qu'il va y avoir quelque chose d'un peu suspect, ils devront normalement vous appeler pour vous dire qu'il s'est passé quelque chose de suspect et vous demander si c'était vous", souligne le spécialiste en protection des données. "Après, à vous de vérifier aussi que vous n'avez pas des sorties d'argent un peu impromptues. Sachant qu'au début, ça peut être quelques centimes pour que la personne vérifie si le compte est approvisionné et, après, ce sont de grosses sommes qui peuvent partir", ajoute-t-il.

Si de l'argent est prélevé sur votre compte et que vous n'en êtes pas à l'origine, il existe des dispositions légales qui vous protègent : "En France, on a treize mois pour être remboursé d'un vol d'argent sur son compte en banque par la banque elle-même", précise Louis Allavena. "Si la banque est au courant, le risque est minime."

3 Plus généralement, que faire pour se préserver d'une fuite de données ?

La cyberattaque dont Free a été victime est loin d'être la seule et loin d'être la dernière. "Si vos données ont fuité, ce n’est pas à cause de Free, souligne Louis Allavena. La probabilité pour que vos données personnelles soient déjà sur le dark web est énorme." Selon lui, 80% de la population française a ses données personnelles sur le dark web.

"Free vient de le dire, avant lui SFR, Orange aussi a été victime. Globalement, vos noms, prénom, date de naissance, numéros de téléphone et adresses mail sont sur le dark web."

Louis Allevana, consultant en protection des données chez Rhapsodies Conseil

à franceinfo

Free précise qu'"aucun mot de passe n'est concerné". Ce qui rassure le spécialiste, pour qui le plus grave serait d'avoir son mot de passe exposé. "La solution, c'est de changer son mot de passe. C'est chiant, mais il faut avoir un mot de passe spécifique par site, souligne-t-il. Comme ça, si vous en avez un qui fuite, il ne peut pas être réutilisé pour les autres". Plusieurs outils existent pour bien gérer ses mots de passe et assurer sa sécurité sur internet, "comme le choix d'un mot de passe complexe ou le recours à des coffres-forts numériques". 

Pour Louis Allavena, il faut aussi "éviter de s'inscrire à tout et n'importe quoi, comme toutes les newsletters qui existent sur internet", afin de ne pas disséminer ses données personnelles. Enfin, il invite à faire usage de son bon sens, en se méfiant des coups de téléphone d'inconnus, en ne divulguant jamais son mot de passe ou son code de carte bleue. Pour vérifier si votre numéro de téléphone ou votre adresse mail a fuité, vous pouvez consulter le site "Have I been pwned ?" (me suis-je fait avoir, en français.)