Les cyberattaques : comment se protéger ?

Ces derniers mois, plusieurs cyberattaques massives ont secoué le secteur des télécommunications ou d’autres entreprises et diverses organisations. SFR, Boulanger, Ameli, la CAF, la Fédération Française de Football, Ledger, LDLC, CDiscount ou encore France Travail ont été victimes d’attaques.

Toutes ces attaques démontrent des failles de cybersécurité car les équipes dédiées n’ont pas correctement effectué leur travail, les traces de pénétration des serveurs n’ont pas été surveillées, ni détectées.

Free, notamment, a récemment été la cible d’une attaque de grande ampleur touchant les données de ses abonnés FreeBox et FreeMobile, exposant des millions d’informations personnelles et bancaires au risque d’exploitation frauduleuse.

Cette attaque, qui a permis l’accès à une quantité significative de données, met en lumière les failles de sécurité persistantes et la nécessité pour chacun d’être vigilant et de prendre des mesures de protection. En effet, d’après une étude récente, seulement environ 2% des entreprises françaises ont pris des mesures suffisantes de cybersécurité.

1. Retour sur les Faits et Contexte

En novembre 2022, Free avait été sanctionné par la CNIL (Commission nationale de l’informatique et des libertés) d’une amende de 300 000 € pour manquements à la sécurité et à la protection des données de ses utilisateurs. L’enquête menée par la CNIL avait mis en évidence des mots de passe en texte clair et la remise en circulation de Freebox mal reconditionnées.

La situation s’est aggravée fin octobre 2024 lorsqu’un hacker a revendiqué une intrusion massive dans les systèmes de Free, publiant des données d’abonnés sur le dark web. Les informations dérobées incluent :

• Données personnelles (identité, contact, numéros de téléphone, dates de naissance et adresses mail) de 19 millions d’abonnés.
• IBAN de 5,1 millions de clients, exposant ainsi des informations bancaires critiques.

Les risques de fraude pour les clients Free sont donc particulièrement élevés, en raison de la possibilité d’utiliser ces données pour des opérations financières frauduleuses.

2. Conséquences et Impacts à Long Terme

• Risques de Fraude Bancaire : Le vol de l’IBAN permet à des fraudeurs d’instaurer des prélèvements SEPA en créant des entreprises fictives. Bien que certaines banques puissent détecter ces tentatives, d’autres risquent de les laisser passer, menaçant ainsi les finances des abonnés.
• Usurpation d’Identité et Phishing : Les informations volées peuvent être utilisées pour cibler les clients par des attaques de phishing, par SMS, emails ou appels frauduleux, prétendant par exemple être un conseiller bancaire.
• SIM Swapping est une technique de fraude par laquelle des cybercriminels prennent le contrôle de votre numéro de téléphone en transférant votre carte SIM vers une nouvelle, qu’ils contrôlent. Cette méthode est souvent utilisée pour accéder à des comptes bancaires et d’autres services en ligne sécurisés par la double authentification via SMS.
• Attaques dans le Temps : Ces données peuvent circuler pendant des années sur le dark web, augmentant le risque de fraude à long terme. Les fraudeurs attendent parfois que l’attention se dissipe pour agir, exploitant la négligence progressive des victimes.

3. Mesures Immédiates de Protection

Face à ce risque, voici des mesures essentielles pour protéger vos données et minimiser les conséquences potentielles :

• Surveillance de Compte Bancaire : Contrôlez régulièrement votre compte bancaire pour détecter toute transaction suspecte. Si un prélèvement non autorisé apparaît, contestez-le auprès de votre banque ; elle est tenue de rembourser toute transaction frauduleuse réalisée dans les 13 mois précédents.
• Modification des Identifiants : Changez les mots de passe de votre espace abonné Free et de tous vos comptes sensibles. Utilisez des mots de passe complexes et uniques.
• Activation de la Double Authentification : Vérifiez que la double authentification est bien activée sur vos comptes Free, un service mis en place en janvier 2024 pour renforcer la sécurité.
• Précautions contre le Phishing : Soyez vigilant face aux messages vous demandant des informations sensibles. Ne cliquez jamais sur des liens ou pièces jointes d’emails suspects ; préférez contacter l’entreprise par ses canaux officiels.

4. Vos Options Légales

• Si vous estimez que vos données n’ont pas été suffisamment protégées, et en cas de fraude avérée ou d’usurpation d’identité, déposez une plainte en ligne ou dans un commissariat. Conservez toutes les preuves (messages, adresse du site web, captures d’écran…) et déposez plainte au commissariat de police ou à la brigade de gendarmerie ou adressez-la par écrit à la Brigade de Lutte Contre la Cybercriminalité (BL2C) de la Préfecture de Police de Paris – 36, rue du Bastion – 75017 Paris.
• Pour faciliter les démarches des victimes, sachez qu’une procédure simplifiée de dépôt de plainte va être mise en place sur la plateforme cybermalveillance.gouv.fr. Cette solution permettra aux abonnés concernés d’éviter les déplacements en commissariat ou en gendarmerie. Ce processus dématérialisé devrait accélérer le traitement des plaintes et faciliter le suivi des dossiers par les autorités compétentes.
• Vous pouvez également contacter la CNIL et déposer une plainte si vous estimezque vos données personnelles n’ont pas été suffisamment sécurisées. https://www.cnil.fr/fr/plaintes

5. Assistance Client Free et aide UFC-Que Choisir

L’opérateur propose un numéro vert gratuit (0 805 921 100) accessible tous les jours, donc du lundi au dimanche inclus, de 9h à 18h. Ce service permet aux clients concernés d’obtenir des informations personnalisées sur leur situation et des conseils pratiques pour sécuriser leurs données.

Vous pouvez également contacter l’association UFC-Que Choisir pour obtenir un soutien supplémentaire et défendre vos droits.

6. Conseils de Sécurité à Long Terme

Ceux qui ont ou vont acheter les données piratées vont attendre que le buzz retombe et que la méfiance s’atténue avant d’opérer. Une opération frauduleuse peut se faire dans 2, 3 ou 5 ans.

Les données se copient et vous pouvez faire face à plusieurs tentatives d’arnaques émanant de diverses sources. De plus, en recoupant des fichiers, par exemple récupérés sur les réseaux sociaux, cela permet à des hackers d’avoir des informations supplémentaires sur votre vie privée.

Pour prévenir de futures attaques :

• Surveillance de Compte Bancaire : Contrôlez régulièrement votre compte bancaire pour détecter toute transaction suspecte. Si un prélèvement non autorisé apparaît, contestez-le auprès de votre banque ; elle est tenue de rembourser toute transaction frauduleuse réalisée dans les 13 mois précédents ainsi que la suppression de l’autorisation de prélèvement concernée le cas échéant, en invoquant l‘article L133-24 du Code monétaire et financier. Vous pouvez également informer votre banque de la divulgation de votre IBAN afin qu’elle mette le compte concerné sous vigilance renforcée. Si vous recevez de courriers concernant des opérations inconnues, vérifiez les informations vous concernant auprès de la CNIL et le Banque de France.
• Limitez les informations partagées sur les réseaux sociaux pour éviter que des hackers n’en apprennent plus sur vous, les fichiers des cartes de fidélité peuvent également donner des informations sur vos habitudes de consommation.
• Surveillez les demandes de prélèvements : Demandez à votre banque de confirmer toute demande de prélèvement (SEPA) par une validation écrite.
• Méfiez-vous des faux mandats de prélèvement : vérifiez les informations de chaque créancier autorisé sur votre espace bancaire.
• Soyez vigilant aux alertes : Si vous perdez subitement le réseau ou recevez un message de votre opérateur indiquant un changement de carte SIM que vous n’avez pas initié, contactez immédiatement votre opérateur.
• Soyez particulièrement méfiant face à tout appel téléphonique ou message (mail, SMS…) de personnes qui prétendraient vous connaître à   partir des informations dérobées et vous contacteraient dans le but de vous soutirer des informations confidentielles (codes, mots de passe…) ou vous faire valider des opérations bancaires (faux conseiller bancaire ou opérateur télécom…). Authentifiez toujours votre interlocuteur en rappelant votre service client à son numéro habituel ou en consultant les informations disponibles dans votre espace personnel du service concerné.

Nous restons à votre disposition pour toute question ou préoccupation relative à votre sécurité ou tout autre relative à la consommation.

L’UFC Que Choisir de Tarn et Garonne