Le mois dernier, l'opérateur Free a été ciblé par une cyberattaque d'une ampleur considérable. Un groupe de cybercriminels a réussi à infiltrer un outil de gestion et à soutirer les données personnelles d'une partie de ses abonnés. Résultat : plus de 19 millions de clients sont concernés par cette fuite alarmante.

Comme l'exige la législation, Free a rapidement signalé le vol des données à la Commission nationale de l'informatique et des libertés (CNIL). L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a également été informée, et une plainte a été déposée auprès du procureur de la République.

Inspection chez Free

Quelques jours après les événements, la CNIL a effectué un contrôle dans les locaux de Free, appartenant à Xavier Niel. Dans un communiqué, l'agence de protection des données a assuré avoir "réalisé un contrôle chez l'opérateur la semaine dernière". Ce contrôle avait pour objectif de vérifier que Free avait pris des mesures adéquates suite à cette fuite de données touchant un grand nombre d'abonnés.

Le dossier est actuellement en cours d'instruction, et il reste à déterminer si la CNIL a constaté des manquements dans les procédés de sécurisation des données clients de Free.

Des manquements persistants dans la sécurité des données

Il convient de rappeler que Free a déjà été épinglé par la CNIL par le passé pour des défaillances dans le traitement des données personnelles. En 2022, l'agence avait relevé des violations du règlement général sur la protection des données (RGPD) suite à plusieurs contrôles menés dans les locaux du fournisseur d'accès. Les déficiences concernaient notamment la "sécurité des données".

Le rapport de la CNIL a révélé que Free utilisait des mots de passe peu sécurisés, qu'il stockait et transmettait des mots de passe en clair, et qu'environ 4 100 boîtiers Freebox mal reconditionnés avaient été remis en circulation. La conséquence a été une amende de 300 000 euros imposée à Free.

"Tous les mots de passe générés lors de l'ouverture d'un compte utilisateur sur le site de l'entreprise étaient stockés en clair dans la base de données des abonnés", a souligné la CNIL dans son rapport de 2022.

Fait troublant, un des hackers à l'origine du piratage d'octobre 2024 a affirmé avoir averti à plusieurs reprises Free au sujet de vulnérabilités dans leurs systèmes. Il déclare avoir été contraint de passer à l'acte en raison du silence persistant face à ses alertes. Cette situation pose une question cruciale : les opérateurs de télécommunications prennent-ils suffisamment au sérieux la sécurisation des données de leurs clients ?

Dans ce contexte, les abonnés de Free doivent prendre conscience des risques potentiels et se renseigner sur les mesures à mettre en place pour protéger leurs informations personnelles.