Violation de données personnelles de l’opérateur Free : situation, risques et recommandations
données personnelles Free iban plainte violation
L’opérateur de télécommunications Free a été victime d’une attaque informatique qui a conduit à l’exfiltration de données à caractère personnel de ses clients.
Cette violation concerne notamment les données suivantes : nom, prénom, adresses email et postale, date et lieu de naissance, numéro(s) de téléphone, identifiant abonné et données contractuelles (type d’offre souscrite, date de souscription, abonnement actif ou non), et, pour certaines personnes, références du compte bancaire ou IBAN (International Bank Account Number). Les mots de passe ne seraient pas concernés.
Comme le prévoit notamment le règlement général sur la protection des données (RGPD), Free doit informer individuellement l’ensemble des personnes concernées par cette violation de données personnelles. Free a également déposé plainte et signalé l’incident à la CNIL (Commission Nationale de l’Informatique et des Libertés).
Une enquête préliminaire diligentée sur les instructions de la section J3 du Parquet de Paris est ouverte à la Brigade de Lutte Contre la Cybercriminalité (BL2C) de la Direction de la Police Judiciaire de la Préfecture de Police de Paris pour les infractions d’atteintes à des systèmes de traitement automatisé de données, collecte frauduleuse de données à caractère personnel et recel de bien provenant d’un délit.
Pour toute question et demande de renseignement de ses clients, l’opérateur Free a mis en place un numéro vert (gratuit), disponible 7j/7 de 9h à 18h : 0 805 921 100
Risques et recommandations
Les conséquences potentielles de cette affaire concernent les différentes formes d’hameçonnage (phishing), de tentatives d’escroqueries ou d’usurpation d’identité, de détournement de ligne téléphonique mobile, ou encore de prélèvements non autorisés dont pourraient être victimes les personnes concernées par cet incident.
Cybermalveillance.gouv.fr recommande aux personnes concernées :
– d’être particulièrement méfiant face à tout appel téléphonique ou message (mail, SMS…) de personnes qui prétendraient vous connaître à partir des informations dérobées et vous contacteraient dans le but de vous soutirer des informations confidentielles (codes, mots de passe…) ou vous faire valider des opérations bancaires (faux conseiller bancaire ou opérateur télécom…). Authentifiez toujours votre interlocuteur en rappelant votre service client à son numéro habituel ou en consultant les informations disponibles dans votre espace personnel du service concerné ;
– de surveiller régulièrement le compte bancaire dont vous auriez été informé que l’IBAN a été dérobé et de demander à votre banque le remboursement de toute opération dont vous ne seriez pas l’auteur (ex : prélèvement que vous n’auriez pas dûment autorisé…), ainsi que la suppression de l’autorisation de prélèvement concernée le cas échéant, en invoquant l‘article L133-24 du Code monétaire et financier. Vous pouvez également informer votre banque de la divulgation de votre IBAN afin qu’elle mette le compte concerné sous vigilance renforcée ;
– d’alerter immédiatement votre opérateur en cas de perte prolongée de connexion sur votre ligne téléphonique mobile, pour vous assurer que vous n’avez pas été victime d’un échange frauduleux de votre carte SIM (appelé également SIM swapping en anglais). Si votre opérateur vous le confirme, faites-lui vous réattribuer votre ligne sans délai, car elle pourrait être utilisée pour récupérer vos communications, et surtout les codes de sécurité à usage unique utilisés pour la validation de certaines opérations sensibles (bancaires par exemple) ;
– de déposer plainte en cas d’utilisation frauduleuse de vos données personnelles divulguées. Conservez toutes les preuves (messages, adresse du site web, captures d’écran…) et déposez plainte au commissariat de police ou à la brigade de gendarmerie ou adressez-la par écrit à la Brigade de Lutte Contre la Cybercriminalité (BL2C) de la Préfecture de Police de Paris – 36, rue du Bastion – 75017 Paris ;
– de déposer plainte auprès de la CNIL si vous estimez que vos données personnelles n’ont pas été suffisamment protégées ;
– d’engager au besoin une action de groupe ou un recours collectif qui permet aux victimes, représentées par une association de protection de la vie privée et des données personnelles ou une association de défense des consommateurs agréée au niveau national, de saisir la justice pour demander la cessation de la violation de données personnelles et la réparation du préjudice.
Pour plus d’information, vous pouvez également consulter notre article dédié aux violations ou fuites de données personnelles, ainsi que le communiqué et les conseils de la CNIL.