C’est le casse informatique de l’année : le piratage des données personnelles de 20 millions de clients FREE dont 5 millions d’IBAN ! Que faire pour sécuriser nos comptes bancaires et éviter les arnaques ? Voyons ça.
Les opérateurs télécom n’en finissent pas de faire parler d’eux… en mal, voire pire. Après SFR et ses « seulement » 50 000 comptes piratés cet été, cette fois c’est Free qui fait bien plus fort. La société de Xavier Niel vient de subir l’une des pires attaques informatiques connues ces dernières années dans notre pays !
Un hacker a téléchargé les données de pas moins de 20 millions de comptes clients ! 20 millions, autant dire plus d’un tiers de la population française s’il fallait encore illustrer plus concrètement l’ampleur du désastre… Un désastre qui semble d’ailleurs peu paniquer Free si on en croit le ton des mails envoyés aux clients. Lisez plutôt :
« Information concernant vos données personnelles
Chère abonnée, Cher abonné,
Nous vous écrivons afin de vous informer que Free a été victime d’une cyberattaque ciblant un outil de gestion.
Cette attaque a entrainé un accès non autorisé à une partie des données personnelles associées à votre compte abonné : nom, prénom, adresses email et postale, date et lieu de naissance, numéro de téléphone, identifiant abonné et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non).
Aucun de vos mots de passe n’est concerné.
Toutes les mesures nécessaires ont été prises immédiatement pour mettre fin à cette attaque et renforcer la protection de nos systèmes d’information.
Cette attaque a été notifiée à la Commission nationale de l’informatique et des libertés (CNIL) et à l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Une plainte pénale a également été déposée auprès du procureur de la République. L’auteur de ce délit s’expose à une peine de 5 ans d’emprisonnement et de 150 000 € d’amende.
Nous vous invitons à la plus grande vigilance face au risque d’emails, SMS ou appels frauduleux. Sachez que nos conseillers ne vous demanderont jamais vos mots de passe à l’oral.
En cas de suspicion ou de situation anormale, nous vous invitons à contacter le service officiel d’assistance aux victimes numériques sur : www.cybermalveillance.gouv.fr pour effectuer un signalement et faire valoir vos droits.
Nous regrettons sincèrement cette atteinte à la confidentialité de vos informations.
Pour toute question et demande de renseignements, nous nous tenons à votre disposition au numéro vert suivant : 0 805 921 100″
Piratage FREE ? Attention…
Donc, tout va bien, des mesures ont été prises pour que cela ne se reproduise plus… Ouf, on est soulagés… mais c’est trop tard ! Avouez que le ton du message a de quoi agacer. Que tous ces nom, prénom, adresses email et postale, date et lieu de naissance, numéro de téléphone se promènent sur le web n’a rien de rassurant. Il ne fait aucun doute que les escrocs vont se faire un plaisir d’usurper les identités des clients pour « nuire à leur réputation, réaliser des opérations financières ou commettre des actes répréhensibles en leur nom », rien de grave quoi…
Et s’il ne s’agissait que de ça… Free a volontairement oublié de mentionner dans ce premier message que pas moins de 5 millions d’IBAN faisaient partie du butin ! Outre encore une fois l’attitude un rien méprisante de l’entreprise envers ses clients, le chiffre fait frémir, et plus que le chiffre, les conséquences de ce vol de données personnelles bancaires ultra sensibles !
5 millions d’IBAN sont déjà vendus… à un escroc
Et cerise sur le gâteau, selon 01Net, le hacker aurait déjà revendu l’ensemble des données pour 175 000 $ ! Autrement dit, les clients Free sont tous susceptibles de faire les frais de tentatives d’escroqueries dont des virements bancaires illégaux. Certes, officiellement, il est impossible de virer des sommes sans l’autorisation du détenteur du compte. Mais qui dit que tous auront la présence d’esprit de ne pas valider un transfert via leurs smartphones par exemple ? En outre, des petits malins arriveraient à passer à travers les mailles du filet.
Enfin, comme si cela ne suffisait pas, les données personnelles volées chez Free concernent les contrats en cours mais aussi les contrats résiliés depuis plusieurs mois ou années ! Autrement dit, résilier son abonnement n’oblige nullement l’opérateur à effacer vos données, c’est même mentionné dans les conditions générales : Free s’autorise à conserver toutes vos données collectées « jusqu’à 5 ans à compter de la fin de la relation contractuelle. » Et ce sont aussi ces données qui viennent d’être vendues… Super, non ? Vous êtes en colère ? Vous avez le droit. Reste maintenant à réagir et faire le travail à leur place.
Vol d’IBAN Free (et autres) : Que faire pour protéger votre argent ?
Évidemment, c’est la question primordiale pour tout client et internaute : comment éviter que vos données personnelles ne soient piratées par des hackers et surtout exploitées ? Puisqu’on sait bien que même des grosses sociétés supposées sécurisées, ne font plus le poids face à un déferlement mondial de malveillances informatiques.
Il n’existe malheureusement pas de solution miracle. En revanche, avec un peu de courage et de rigueur, on peut limiter la casse. Voici l’essentiel à savoir… et appliquer, si possible.
1 : Le droit à l’effacement des données personnelles
On le voit avec le (mauvais) exemple de Free, vos données personnelles sont conservées, même une fois le service résilié, et donc potentiellement en danger. Il est pourtant simple de solutionner le problème en lisant les conditions générales de Free : « Vous pouvez solliciter auprès de nous l’effacement de vos données. » Certes, sous conditions, mais dans le cas présent, difficile pour Free de s’opposer à votre demande si elle n’a pas été capable de les protéger…
C’est valable pour Free mais aussi tout autre opérateur et toute société commerciale, banque, assurance. Le droit à l’effacement des données est un droit clairement détaillé sur le site de la CNIL : www.cnil.fr/fr/comprendre-mes-droits/le-droit-leffacement-supprimer-vos-donnees-en-ligne
2 : Porter plainte
Le vol de vos données vous fait courir un risque permanent parce qu’une société à laquelle vous les aviez confiées a manqué à son obligation de les protéger. Dès lors, vous êtes en droit de porter plainte, des procédures existent.
– Porter plainte au près de la CNIL : www.cnil.fr/fr/adresser-une-plainte
Si la CNIL ne peut vous obtenir des dommages et intérêts, elle peut en revanche agir très concrètement contre la société fautive.
– Porter plainte auprès de la police ou gendarmerie en cas d’arnaque, d’usurpation d’identité, virements frauduleux : www.masecurite.interieur.gouv.fr/fr/trouver-un-commissariat-une-gendarmerie
3 : Surveiller son compte bancaire
On le sait, même si les ordres de virement sont en théorie protégés par la double authentification et autres mesures de sécurité spécifiques à chaque banque, il apparaît que certains escrocs arrivent quand même à débiter votre compte avec votre seul IBAN. D’où la nécessité de vérifier régulièrement chaque ligne de votre relevé de compte à l’affût de virement illicite. Dans ce cas, vous avez jusqu’à 13 mois pour contester le prélèvement non autorisé et exiger son remboursement à votre banque.
Il faut le savoir : vous pouvez demander la mise en place d’une liste blanche pour les prélèvements, c’est à dire une liste de créanciers seuls autorisés à débiter votre compte. Dés lors, votre banquier a obligation de refuser un virement vers tout demandeur non répertorié dans cette liste.
4 : Changer d’IBAN ?
La question mérite d’être posée, surtout dans le cas où vous avez eu connaissance du vol de votre IBAN à plusieurs reprises (changement d’opérateur de Free à SFR en 2024 par exemple). Même si un virement n’est en théorie pas possible sans votre autorisation, une erreur d’inattention reste un risque permanent. On a vu en Creuse des gens tout à fait sensés autoriser distraitement des virements frauduleux à partir de leur téléphone… Dans ce cas, la banque peut en théorie refuser le remboursement si vous avez autorisé le virement. Malgré tout, vous pouvez contester cette autorisation involontaire de prélèvement dans la limite de 8 semaines à compter de la date du débit et tenter de demander le remboursement à votre banque.
Malgré tout, en fonction des cas, il est très compréhensible de vouloir changer d’IBAN pour sécuriser son compte bancaire. Radical certes, mais imparable puisque cela revient finalement à résilier son compte courant pour en ouvrir un nouveau (il n’est pas possible de changer l’IBAN d’un compte existant) et donc obtenir un nouvel IBAN inconnu sur internet. Dans ce cas, mieux vaut négocier à l’avance avec son conseiller bancaire le changement des coordonnées pour tous vos virements récurrents.
5 : Changer de carte bancaire ?
Là aussi, des données personnelles compromises peuvent aussi fragiliser la sécurité de votre carte bancaire. Mais dans ce cas, il est possible de changer les numéros de votre carte bancaire sans devoir changer de carte (c’est-à-dire d’abonnement). Les conditions sont à négocier avec votre conseiller bancaire.
6 : Payer son abonnement mobile, boxe internet, etc. avec une carte virtuelle
Il est possible de payer un abonnement en ligne sans dévoiler ses numéros d’IBAN ou de carte bancaire. La carte virtuelle possède un numéro de compte, une date de validité et un code à 3 chiffres. Elle n’est pas physique mais tout aussi utilisable pour des virements récurrents. C’est un service proposé par votre banque, lié à votre carte habituelle, sans surcoût. Vous décidez du montant alloué à cette carte virtuelle tous les mois et vous paramétrez les virements. Même en cas de piratage, seul le montant alloué à cette carte peut être débité, pas plus, mais votre compte bancaire lui n’est pas impacté. C’est une solution à envisager sérieusement. Il y en a d’autres, sans aucun doute.
Conclusion (provisoire…) : Sollicitez votre banquier
Le mal est fait : selon un expert de la sécurité internet, les données de près de 8 internautes sur 10 navigueraient déjà en toute liberté sur la toile… Cela nous condamne à une vigilance de tous les instants, surveiller son compte, ses mails, rester à l’affût de la moindre tentative de phishing, d’usurpation d’identité, d’arnaque au faux conseiller bancaire, etc. C’est fatigant, stressant. Le moment est alors peut-être venu de faire le grand ménage ou au moins sécuriser ce qui peut l’être, mettre en place une liste blanche, demander l’effacement de ses données, changer ses moyens de paiement, son compte, ses mots de passe, etc. Retrouver un peu de sérénité est fastidieux sans aucun doute mais votre banquier peut vous aider. N’hésitez pas à lui en parler sans tarder.