Free, deuxième opérateur téléphonique de France, a confirmé dimanche qu’une cyberattaque massive survenue vendredi dernier avait permis aux hackers d’accéder aux IBAN (International Bank Account Number) de ses clients, parmi d’autres données personnelles.
Les IBAN des clients ont bel et bien été piratés, comme l’a confirmé Free, dans un mail envoyé ce dimanche à ses abonnés. "Cette attaque a entraîné un accès non autorisé à une partie des données personnelles associées à votre compte abonné : nom, prénom, adresses e-mail et postale, numéro de téléphone, identifiant abonné, IBAN et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non)", a indiqué l'opérateur.
Selon Le Figaro, un échantillon de 100 000 IBAN a déjà été rendu public dans la nuit de samedi à dimanche, tandis que les pirates disent en détenir 5,11 millions au total, rapporte la même source.
Un premier courriel envoyé vendredi par Free à ses abonnés, mentionnait une fuite de données personnelles classiques, sans évoquer les IBAN. L'opérateur indiquait alors avoir été "victime d’une cyberattaque ciblant un outil de gestion" entraînant "un accès non autorisé à certaines données personnelles, tout en précisant qu’aucun mot de passe, numéro de carte bancaire, mail, SMS ou message vocal n’avait été compromis.
Free a annoncé avoir signalé l’attaque à la Commission nationale de l'informatique et des libertés (CNIL) ainsi qu’à l'Agence nationale de la sécurité des systèmes d'information (ANSSI). L'opérateur a également déposé une plainte pénale auprès du procureur de la République.