IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 153
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 153
    Points : 210 965
    Points
    210 965
    Par défaut Free met fin au télétravail pour les salariés de ses centres d’appels pour des raisons de cybersécurité
    Piratage de Free : des cybercriminels prétendaient avoir vendu les données de 19 millions d'utilisateurs dont l'IBAN de 5 millions d'entre eux,
    L'un d'entre eux affirme aujourd'hui que ce n'est pas le cas

    Fin octobre, Free a été victime d'un piratage historique. Des cybercriminels ont ciblé l'un des outils de gestion de l'opérateur et sont parvenus à récupérer les données personnelles de plus de 19 millions de clients Free Mobile et Freebox. Il s'agit notamment du nom/prénom, de l'adresse mail et postale, de la date et lieu de naissance, du numéro de téléphone ou encore de l'identifiant abonné et des données contractuelles. Ils se sont également emparés des IBAN de plus de 5 millions de clients. Comme le veut la loi dans ce genre d'affaire, Free a rapidement notifié l'attaque auprès de la CNIL et de l'ANSSI. Un formulaire en ligne était censé être mis en place la semaine dernière, pour faciliter le dépôt de plainte des très nombreuses victimes de la cyberattaque de Free. Mais le projet a finalement été abandonné.

    Le 22 octobre, un utilisateur d'un forum bien connu des cybercriminels, annonçait disposer de données personnelles de millions de clients de l’opérateur Free. Il disait chercher à les vendre au plus offrant.

    Le vol de données a été confirmé quelques jours plus tard par Free. Le fournisseur d'accès à Internet a confirmé qu'il avait été piraté après qu'un cybercriminel se faisant appeler « drussellx » a mis aux enchères les données de ses clients sur ledit forum.

    Les noms, prénoms, adresses e-mail et postale, dates et lieux de naissance, numéros de téléphone, identifiants abonné et données contractuelles de dizaines de milliers de clients ont ainsi été dérobés, comme l’indiquait Free dans un e-mail transmis à ses souscripteurs concernés.

    Seulement, selon l’ingénieur en cybersécurité Clément Domingo, les IBAN (pour « International Bank Account Number »), code qui permet d’identifier un compte en banque, ont également été dérobés lors de cette attaque.

    La nuit dernière à 4h30 du matin, le cybercriminel à l'origine de la cyberattaque de Free à diffusé un échantillon de 100 000 IBAN sur les 5,11M qu'il dit détenir.

    Cette nouvelle publication est certainement en réaction avec le mail de Free, probablement qu'il a trouvé laxiste... et qui ne mentionnait guère la compromission des IBAN...

    Son message est de plus sans équivoque avec une photo reprenant le titre du dernier livre de Xavier Niel, "Une sacrée envie de foutre le bordel" ! Faut croire que ce cybercriminel est entrain de le faire...
    Le vol de ces IBAN a été confirmé par Free, dimanche, dans un courriel envoyé à certains de ses clients.

    Drussellx a affirmé avoir acquis les informations de 19,2 millions d'abonnés, dont cinq millions accompagnés des IBAN (pour des abonnés Freebox uniquement), le 17 octobre 2024. La violation « affecte tous les clients FREE Mobile et Freebox, et comprend les IBAN des 5,11 millions d'abonnés Freebox », a écrit drussellx.

    En reconnaissant la faille, FREE a indiqué que l'attaquant avait ciblé un outil de gestion qui lui permettait d'accéder aux données des abonnés, mais pas aux mots de passe, aux informations des cartes bancaires ou au contenu des communications. La société, qui est une filiale du groupe Iliad, a ensuite déposé une plainte pénale et a notifié l'incident à la CNIL et à l'ANSSI.

    L'un des cybercriminels affirme avoir vendu les données

    Durant le week-end, drussellx a indiqué mettre aux enchères un fichier contenant pas moins de 100 000 lignes, avec des données personnelles de clients, dont les IBAN correspondants évidemment : « Si l'entreprise ne participe pas à cette unique vente aux enchères dans les prochains jours, cette copie sera vendue, ce qui entraînera de graves conséquences pour les clients, et sera probablement divulguée publiquement sur les forums dans un avenir proche », affirmait-il.

    Quelques jours plus tard, un autre message est apparu. Celui-ci affirmait que les données avaient été vendues aux enchères pour 175 000 dollars. « Free thought the DB was free, ils n'ont rien compris », pouvait-on lire.

    Nom : zeri.png
Affichages : 52536
Taille : 429,6 Ko

    Mais l'annonce de la vente n'annonçait pas la fin de l'histoire, semble-t-il.

    Le 1er novembre, un autre utilisateur du forum se faisant appeler « how » a posté que l'auteur du post original avait été arrêté et qu'il revendait les données pour gagner plus d'argent à 35 000 dollars par copie, cinq fois seulement. Il a fourni le même échantillon de données que dans le message original et a invité les gens à lui envoyer des messages privés. DataBreaches l'a contacté par message privé pour lui poser des questions parce que le message ressemblait à une arnaque. Il n'a jamais répondu à DataBreaches mais a retiré son message.

    Nom : un.png
Affichages : 13125
Taille : 281,8 Ko

    Et si les données personnelles et bancaires des clients de Free récupérées par un pirate n’avaient finalement pas été vendues ?

    Le 3 novembre, l'histoire a pris une tournure surprenante. DataBreaches a été contacté par quelqu'un qui s'est identifié comme « YuroSh ». Il a affirmé être le pirate responsable de la fuite sur free.fr. « Je comprends que cette base de données a été présentée à la télévision française pendant des semaines, et j'aimerais clarifier quelques détails », a-t-il déclaré, fournissant à DataBreaches ce qui semble être les informations personnelles de Xavier Niel (PDG de FREE) comme preuve préliminaire de son implication.

    Interrogé, YuroSh a déclaré que son rôle avait été d'aider à exploiter la vulnérabilité. DataBreaches lui a demandé de demander à drussellx d'envoyer un message privé à DataBreaches via BreachForums pour confirmer son implication. drussellx a ensuite envoyé à DataBreaches un message privé indiquant que YuroSh était responsable du piratage.

    Quel est donc le détail des rapports des médias que YuroSh souhaitait clarifier ? Eh bien, selon YuroSh,les données n'ont jamais été vendues aux enchères ou vendues tout court - et elles n'allaient pas être vendues.

    Apparemment, YuroSh et drussellx avaient des priorités différentes quant à l'usage qu'ils feraient des données, mais aucun d'entre eux ne voulait vraiment vendre les données des gens ou les divulguer. Drussellx aurait voulu extorquer FREE et aurait utilisé l'annonce de la mise aux enchères et l'annonce de la vente pour essayer de faire pression sur Free afin qu'il paie l'extorsion. YuroSh, quant à lui, semblait plus motivé par l'hacktivisme, déclarant à DataBreaches :

    « Chaque citoyen français a probablement été victime d'une fuite au moins une fois. Parmi les bases de données récemment piratées figurent Free, SFR, France Travail, Ameli, la CAF (Caisse d'allocations familiales), la FFF (Fédération Française de Football), Ledger, LDLC, Shadow et Cdiscount. Je ne suis pas un saint, mais j'espère que l'incident free.fr réveillera enfin les Français sur la réalité de la surveillance de masse et qu'ils lutteront contre elle. La protection de la vie privée en France a été érodée à un point tel qu'elle est pratiquement inexistante. Cette situation va au-delà d'une simple violation, il s'agit d'un problème systémique, enraciné dans un gouvernement déterminé à imposer un État de surveillance. La majorité des gens ne réfléchissent pas aux pratiques de surveillance, alors même que les GAFAM et le gouvernement s'entendent pour contrôler tous les aspects de nos vies numériques.

    « La France est devenue le premier pays d'Europe à légaliser la surveillance biométrique, soi-disant pour la "sécurité publique" lors d'événements majeurs comme les Jeux olympiques. En vertu de cette nouvelle loi, la police utilise la vidéosurveillance algorithmique pour analyser les données biométriques : formes du corps, gestes, mouvements. Ils ont fait passer cette loi pendant une période de distraction nationale, balayant d'un revers de main les débats sur les libertés civiles. Il s'agit d'une décision calculée qui révèle le peu de respect qu'ils accordent à la vie privée. Cette décision ouvre manifestement la voie à une nouvelle expansion. Il ne s'agit pas de sécurité publique, mais de normalisation progressive de la surveillance de masse.

    « Les forces de l'ordre françaises sont allées jusqu'à cibler ProtonMail, Tor et d'autres outils de protection de la vie privée, en les qualifiant de criminels. Elles ont rendu l'utilisation de ces protections suspecte, tout en négligeant les violations réelles. Ils prétendent qu'il s'agit de lutter contre les cybermenaces, mais en réalité, il s'agit d'une attaque contre les libertés individuelles.

    « Leur objectif est le contrôle total, et ils ne le cachent pas. Des drones de surveillance des manifestations aux systèmes de notation de l'IA qui réduisent les droits sociaux sur la base d'algorithmes mystérieux, chaque nouvel outil rapproche la France d'un État de surveillance. La vie privée est sous assistance respiratoire, et si les gens ne résistent pas maintenant, elle pourrait bientôt disparaître complètement ».

    Et YuroSh d'ajouter : « Je suis différent, je déteste la surveillance et je pense que la seule façon de les réveiller est de les pirater. Sinon, les choses ne changeront pas. »

    Problèmes de sécurité passés de FREE

    YuroSh a précisé avec exploité une vulnérabilité dans une API. Il a concédé que « Free a une sécurité tout à fait convenable pour qui ne creuse pas trop, mais ils sont lents à répondre ». Pour lui, la multiplication des dispositifs de surveillance et des bases de données associées ne fait qu’augmenter le risque de brèches. Aussi, il « recommande que les entreprises conduisent des audits de sécurité et des recherches de vulnérabilités, réguliers, pour identifier les faiblesses dans leurs systèmes, si elles veulent vraiment savoir ce qui se passe ».

    YuroSh dit enfin parfois conserver les données piratées, parfois les supprimer. Dans le cas de celles de Free : « je ne sais pas encore ».

    YuroSh a également affirmé que dans le passé, ils avaient envoyé à FREE des alertes de vulnérabilité qui ont été ignorées. En fait, FREE a déjà été condamné à une amende par la CNIL dans le passé. Le 30 novembre 2022, la CNIL a infligé une sanction de 300 000 euros à FREE, pour non-respect des droits des personnes et de la sécurité des données de ses utilisateurs.

    Selon l'annonce de la CNIL, une enquête de la CNIL en réponse à des plaintes de consommateurs avait révélé plusieurs violations du RGPD, notamment des mots de passe en clair, et la remise en circulation d'environ 4 100 Freebox mal reconditionnées.

    DataBreaches a demandé à YuroSh si les vulnérabilités qu'ils avaient signalées à FREE l'avaient été avant ou après novembre 2022. Il a répondu que c'était après cette date, et facilement « parce qu'ils n'ont pas bien surveillé, nous avons pu envoyer des millions de requêtes pendant des semaines ».

    La CNIL a annoncé la mise en place d'un formulaire pour porter plainte... puis s'est rétractée

    Dans la foulée, la Commission nationale de l'Informatique et des Libertés avait annoncé la mise en place d'un formulaire en ligne : « si vous avez été avisés de la violation de vos données, à la suite de la cyberattaque visant l’opérateur de téléphonie Free, vous avez la possibilité de porter plainte via un formulaire en ligne sans vous déplacer en commissariat ou en brigade de gendarmerie. Ce formulaire sera prochainement disponible depuis le site cybermalveillance.gouv.fr ».

    À la surprise générale, la mention du formulaire en ligne, sur la page consacrée au piratage de Free de la CNIL, a finalement disparu, sans qu’aucun formulaire ne soit mis en ligne. La Commission a confirmé que le formulaire en ligne « n’était plus d’actualité depuis la semaine dernière » sans pour autant apporter d'explications permettant d'en comprendre la raison.

    Sources : CNIL (1, 2), DataBreaches

    Et vous ?

    Quel rôle les entreprises comme Free devraient-elles jouer pour prévenir les cyberattaques ? Les mesures actuelles de sécurité dans le secteur des télécoms sont-elles suffisantes pour rassurer les consommateurs ?
    La communication de crise de Free est-elle appropriée selon vous ?
    Le piratage des IBAN et données sensibles doit-il entraîner des compensations pour les clients ? Les entreprises doivent-elles prévoir des mécanismes de soutien financier pour leurs abonnés en cas de vol de données sensibles ?
    Comment les utilisateurs peuvent-ils mieux protéger leurs données personnelles ? Les consommateurs devraient-ils être davantage sensibilisés et formés aux risques de cybercriminalité ?
    Le déploiement d’un formulaire de plainte en ligne est-il suffisant en cas de piratage de grande ampleur ? Les consommateurs ont-ils accès à des moyens de recours appropriés dans de tels cas ?

    Voir aussi :

    Free : les données personnelles de 14 millions de clients en vente sur le dark Web. Faux, affirme Free
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre régulier
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    Janvier 2013
    Messages
    30
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Responsable de service informatique

    Informations forums :
    Inscription : Janvier 2013
    Messages : 30
    Points : 102
    Points
    102
    Par défaut
    On peut porter plainte contre Free pour non respect du RGPD (obligation de sécurisation) ?

    pasq des IBAN en clair, et déjà avoir été condamné pour défaut de sécurisation, plus avoir été averti par des attaquants, forcément le sérieux de cette boite pose question.

    heureusement que nous n'avons pas pris un abonnement PRO

  3. #3
    Nouveau membre du Club Avatar de JaDu-GHU
    Homme Profil pro
    programo-develop-mainteno-webmestro et autres trucs autour du WEB !
    Inscrit en
    Juillet 2020
    Messages
    17
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 76
    Localisation : France, Finistère (Bretagne)

    Informations professionnelles :
    Activité : programo-develop-mainteno-webmestro et autres trucs autour du WEB !
    Secteur : Conseil

    Informations forums :
    Inscription : Juillet 2020
    Messages : 17
    Points : 30
    Points
    30
    Par défaut Sécurité ?
    Free est comme les autres système qui prétendent "sécuriser" mais qui n'en n'ont pas les moyens car les système informatiques sont tous ( même UNIX et linux ) possiblement atteints par des attaques de plus en plus sournoises mais bénéfiques. Nous finirons tous par comprendre que ce qui est en marche c'est une libération TOTALE des chaînes qu'ils nous ont mises depuis l'obligation d'avoir une compte en banque ! ( vers 1965 ! )
    Et la vraie vie n'a pas besoin de toutes ces cxxnneries !

  4. #4
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    9 153
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 9 153
    Points : 210 965
    Points
    210 965
    Par défaut Piratage de Free : une rançon de 10 millions d'euros a été demandée via Telegram
    Piratage de Free : une rançon de 10 millions d'euros a été demandée via Telegram qui est sommée de communiquer
    toutes les informations dont elle dispose permettant d'identifier le pirate à Free

    Le récent piratage de Free, géant français des télécommunications, marque un nouveau chapitre inquiétant dans l'escalade des cyberattaques : le pirate aurait réclamé via Telegram 10 millions d’euros de rançon à Free. Free s'est saisi du Tribunal Judiciaire de Paris pour contraindre la plateforme de messagerie à lui communiquer toutes les informations dont elle dispose sur l'individu qui s'en est servi pour faire chanter l’opérateur... ce que le Tribunal a accordé.

    La demande de rançon astronomique de 10 millions d'euros en cryptomonnaie, accompagnée de menaces de divulgation de données sensibles, met en lumière la vulnérabilité des grandes entreprises face aux hackers. Mais ce qui attire également l'attention, c'est l'implication de Telegram dans l'affaire, une plateforme souvent critiquée pour son rôle ambigu dans la cybersécurité et la protection des données.


    Rappel des faits

    Le 22 octobre, un utilisateur d'un forum bien connu des cybercriminels, annonçait disposer de données personnelles de millions de clients de l’opérateur Free. Il disait chercher à les vendre au plus offrant. Le vol de données a été confirmé quelques jours plus tard par Free. Le fournisseur d'accès à Internet a confirmé qu'il avait été piraté après qu'un cybercriminel se faisant appeler « drussellx » a mis aux enchères les données de ses clients sur ledit forum.

    Les noms, prénoms, adresses e-mail et postale, dates et lieux de naissance, numéros de téléphone, identifiants abonné et données contractuelles de dizaines de milliers de clients ont ainsi été dérobés, comme l’indiquait Free dans un e-mail transmis à ses souscripteurs concernés.

    Seulement, selon l’ingénieur en cybersécurité Clément Domingo, les IBAN (pour « International Bank Account Number »), code qui permet d’identifier un compte en banque, ont également été dérobés lors de cette attaque.

    Le vol de ces IBAN a été confirmé par Free, dimanche, dans un courriel envoyé à certains de ses clients.

    Drussellx a affirmé avoir acquis les informations de 19,2 millions d'abonnés, dont cinq millions accompagnés des IBAN (pour des abonnés Freebox uniquement), le 17 octobre 2024. La violation « affecte tous les clients FREE Mobile et Freebox, et comprend les IBAN des 5,11 millions d'abonnés Freebox », a écrit drussellx.

    En reconnaissant la faille, FREE a indiqué que l'attaquant avait ciblé un outil de gestion qui lui permettait d'accéder aux données des abonnés, mais pas aux mots de passe, aux informations des cartes bancaires ou au contenu des communications. La société, qui est une filiale du groupe Iliad, a ensuite déposé une plainte pénale et a notifié l'incident à la CNIL et à l'ANSSI.

    Nom : sold.png
Affichages : 4976
Taille : 324,1 Ko

    Deux priorités différentes quant à l'usage des données

    Plus tôt ce mois-ci, drussellx a indiqué mettre aux enchères un fichier contenant pas moins de 100 000 lignes, avec des données personnelles de clients, dont les IBAN correspondants évidemment : « Si l'entreprise ne participe pas à cette unique vente aux enchères dans les prochains jours, cette copie sera vendue, ce qui entraînera de graves conséquences pour les clients, et sera probablement divulguée publiquement sur les forums dans un avenir proche », affirmait-il.

    Quelques jours plus tard, un autre message est apparu. Celui-ci affirmait que les données avaient été vendues aux enchères pour 175 000 dollars. « Free thought the DB was free, ils n'ont rien compris », pouvait-on lire.

    Le 3 novembre, l'histoire a pris une tournure surprenante. DataBreaches a été contacté par quelqu'un qui s'est identifié comme « YuroSh ». Il a affirmé être le pirate responsable de la fuite sur free.fr. « Je comprends que cette base de données a été présentée à la télévision française pendant des semaines, et j'aimerais clarifier quelques détails », a-t-il déclaré, fournissant à DataBreaches ce qui semble être les informations personnelles de Xavier Niel (PDG de FREE) comme preuve préliminaire de son implication.

    Interrogé, YuroSh a déclaré que son rôle avait été d'aider à exploiter la vulnérabilité. DataBreaches lui a demandé de demander à drussellx d'envoyer un message privé à DataBreaches via BreachForums pour confirmer son implication. drussellx a ensuite envoyé à DataBreaches un message privé indiquant que YuroSh était responsable du piratage.

    Apparemment, YuroSh et drussellx avaient des priorités différentes quant à l'usage qu'ils feraient des données, mais aucun d'entre eux ne voulait vraiment vendre les données des gens ou les divulguer. Drussellx aurait voulu extorquer FREE et aurait utilisé l'annonce de la mise aux enchères et l'annonce de la vente pour essayer de faire pression sur Free afin qu'il paie l'extorsion. YuroSh, quant à lui, semblait plus motivé par l'hacktivisme, déclarant à DataBreaches : « Je ne suis pas un saint, mais j'espère que l'incident free.fr réveillera enfin les Français sur la réalité de la surveillance de masse et qu'ils lutteront contre elle. La protection de la vie privée en France a été érodée à un point tel qu'elle est pratiquement inexistante ».

    Le pirate demandait 10 millions d'euros : Telegram condamnée à communiquer ses données à Free

    Dans une décision du 12 novembre du Tribunal Judiciaire de Paris, publiée par la Cour de cassation, il a été ordonné à la société Telegram messenger inc de communiquer à Free « tous les éléments permettant d’identifier la personne (ou les personnes) : Qui a créé le compte de la messagerie qui a permis d’envoyer le message litigieux à M. [J] ».

    Cela concerne « le ou les numéros de téléphone, l’adresse IP attribuée, l’identifiant utilisé, l’adresse IP attribuée à la source de la connexion et le port associés et le numéro de téléphone à l’origine de la communication » recueillies lors de la création du compte Telegram et de l’envoi du message et finalement « toutes informations utiles à l’identification de la personne recherchée ».

    À l’appui de leurs demandes, les sociétés Free et Free mobile exposent que le pirate informatique, qui est parvenu à détourner des données personnelles et bancaires des abonnés Free et Free mobile, aurait mis en vente les fichiers des données détournées sur le dark web et tente d’en négocier la restitution moyennant le versement d’une rançon.

    Elles précisent qu’un certain « [Z] [L] » a adressé trois messages identiques le 21 octobre 2024 sur la plateforme DOP, qui est une plateforme dédiée à l’échange avec les abonnés pour leurs données personnelles, dans lesquels il menace d’utiliser frauduleusement les données piratées si une somme de 10 millions d’euros ne lui est pas payée en cryptomonnaie, ces messages n’ayant toutefois pas laissé de traces informatiques.

    Elles ajoutent que le pirate a, encore sous le nom de « [Z] [L] », adressé un message à M. [J], qui est l’animateur historique du groupe Iliad-Free, sur son téléphone personnel par l’intermédiaire de la messagerie électronique Telegram[...].

    En l’espèce, il ressort des pièces produites et des débats que les sociétés Free et Free mobile ont été victimes d’un piratage ayant permis au pirate de récupérer des données personnelles et bancaires de certains de leurs abonnés et que le président du groupe Iliad, M. [J], a reçu un message d’un certain « [Z] [L] » par l’intermédiaire de la messagerie électronique Telegram dans lequel il « laisse la possibilité à free d’acheter sa propre base ».
    L’identité de monsieur [J] et de la personne [Z] [L] ne sont pas précisées… mais comme la décision parle de « président du groupe Iliad » pour monsieur [J], il s'agit visiblement de Xavier Niel.

    Nom : telegra.png
Affichages : 1314
Taille : 127,1 Ko

    Depuis l’arrestation de Pavel Durov, Telegram s’est engagé mieux collaborer avec la justice sur ses demandes d’identification d’utilisateurs

    Telegram était un gros sujet à controverse en raison d'une quasi-inexistence de modération sur l'application. Selon un récent rapport sur le sujet, cela a favorisé l'émergence de milliers de chaînes Telegram qui vendent des identités volées, des drogues illicites et du matériel pédopornographique (CSAM), faisant de la plateforme un nouveau type de darknet pour les criminels. Cependant, les choses ont commencé à changer avec l'arrestation en France du PDG Pavel Durov. Les premiers changements introduits par Telegram suite à cette arrestation suggéraient que l'application veut se débarrasser de sa réputation de paradis pour les criminels.

    Telegram, qui ignorait largement les réquisitions judiciaires, serait désormais pleinement disposé à collaborer avec la justice et les forces de l'ordre. « La porte s’ouvre vraiment », a confirmé à Libération Johanna Brousse, cheffe de la section J3 de la juridiction nationale de lutte contre la criminalité organisée (Junalco) du parquet de Paris. La section J3 est dédiée à la cybercriminalité. L'entreprise aurait même déjà collaboré sur certains cas pour montrer sa bonne foi.

    « Si Telegram reçoit un ordre valide des autorités judiciaires compétentes confirmant que vous êtes un suspect dans une affaire impliquant des activités criminelles qui violent les conditions d'utilisation de Telegram, nous effectuerons une analyse juridique de la demande et pourrons divulguer votre adresse IP et votre numéro de téléphone aux autorités compétentes », lit-on dans la nouvelle mise à jour.

    Dans une publication sur Telegram, Pavel Durov explique que l'entreprise apporte ces modifications afin de « dissuader les criminels d'abuser » de la fonction de recherche de l'application. La fonction de recherche de Telegram permet aux utilisateurs de rechercher des canaux publics et des bots, mais Pavel Durov affirme qu'elle a été utilisée de manière abusive par des personnes « pour vendre des produits illégaux ».

    « Nous avons clairement indiqué que les adresses IP et les numéros de téléphone de ceux qui enfreignent nos règles peuvent être divulgués aux autorités compétentes en réponse à des demandes légales valables », écrit Pavel Durov dans un message publié sur son canal Telegram. « Nous ne laisserons pas de mauvais acteurs mettre en péril l'intégrité de notre plateforme pour près d'un milliard d'utilisateurs. »

    Source : décision du Tribunal Judiciaire de Paris

    Et vous ?

    Quels standards minimums de sécurité devraient être imposés aux entreprises pour protéger les données des utilisateurs ?

    Free est-il un cas isolé ou reflète-t-il une tendance plus large de sous-investissement dans la cybersécurité ?

    Les entreprises victimes de cyberattaques devraient-elles être obligées de publier un rapport détaillé sur leurs failles ?

    Telegram doit-il céder aux pressions des autorités et transmettre les données demandées, même si cela va à l'encontre de sa politique de confidentialité ?

    Comment trouver un équilibre entre la protection de la vie privée des utilisateurs et la lutte contre la cybercriminalité ?

    Les plateformes de communication devraient-elles être tenues légalement responsables si elles refusent de coopérer avec les autorités dans des affaires criminelles ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  5. #5
    Membre éclairé
    Homme Profil pro
    autre
    Inscrit en
    Septembre 2015
    Messages
    308
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Yvelines (Île de France)

    Informations professionnelles :
    Activité : autre

    Informations forums :
    Inscription : Septembre 2015
    Messages : 308
    Points : 733
    Points
    733
    Par défaut
    Je pensais qu'un IBAN ne servait qu'à envoyer des fonds VERS le compte désigné... mais visiblement (impôts locaux), il permet aussi d'envoyer des comptes DEPUIS ce compte !

    Bon, je suppose que si je fraude avec l'IBAN d'un tier pour payer mes impôts, je serais vite repéré, mais cela me laisse perplexe.

  6. #6
    Membre confirmé Avatar de steel-finger
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Janvier 2013
    Messages
    184
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : Janvier 2013
    Messages : 184
    Points : 550
    Points
    550
    Par défaut
    Le problème des IBAN réside dans leur manque de sécurité, permettant de retirer de l'argent sans être le titulaire du compte. Bien que je ne décrirai pas la méthode, celle-ci reste relativement simple. Les montants prélevés sont généralement faibles (entre 1 € et 10 € pour éviter d'attirer l'attention), mais une personne disposant d'une base de données peut en tirer des gains considérables.

  7. #7
    Membre habitué Avatar de dragonofmercy
    Homme Profil pro
    Développeur Web
    Inscrit en
    Mars 2019
    Messages
    42
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 38
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur Web

    Informations forums :
    Inscription : Mars 2019
    Messages : 42
    Points : 155
    Points
    155
    Par défaut
    Citation Envoyé par steel-finger Voir le message
    Le problème des IBAN réside dans leur manque de sécurité, permettant de retirer de l'argent sans être le titulaire du compte
    Cela ne concerne visiblement que la France. En Suisse par exemple, il est impossible de retirer de l'argent simplement avec un numéro IBAN.
    D'ailleurs, la plupart des entreprises affichent leur IBAN sur leur site web pour permettre aux clients d'effectuer des paiements.

    Je me demande si par hasard il y a pas confusion avec le RIB !

  8. #8
    Membre extrêmement actif Avatar de Jon Shannow
    Homme Profil pro
    Responsable de service informatique
    Inscrit en
    Avril 2011
    Messages
    4 609
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 61
    Localisation : France, Ille et Vilaine (Bretagne)

    Informations professionnelles :
    Activité : Responsable de service informatique
    Secteur : High Tech - Électronique et micro-électronique

    Informations forums :
    Inscription : Avril 2011
    Messages : 4 609
    Points : 10 601
    Points
    10 601
    Par défaut
    Personnellement, ayant contacté ma banque, elle m'a signalé qu'il n'y avait aucun risque et que l'IBAN seul ne suffisait pas pour permettre un virement depuis le compte, mais seulement vers le compte. Donc, si les pirates veulent me virer de l'argent, grand bien leur fasse !
    Au nom du pèze, du fisc et du St Estephe
    Au nom du fric, on baisse son froc...

  9. #9
    Membre expérimenté
    Homme Profil pro
    retraité
    Inscrit en
    Septembre 2014
    Messages
    643
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : Septembre 2014
    Messages : 643
    Points : 1 521
    Points
    1 521
    Par défaut
    Citation Envoyé par floyer Voir le message
    Je pensais qu'un IBAN ne servait qu'à envoyer des fonds VERS le compte désigné... mais visiblement (impôts locaux), il permet aussi d'envoyer des comptes DEPUIS ce compte !

    Bon, je suppose que si je fraude avec l'IBAN d'un tier pour payer mes impôts, je serais vite repéré, mais cela me laisse perplexe.
    Le numéro RIB sert à identifier votre compte courant au niveau national.
    Tandis que l'IBAN, lui, permet l'identification de votre compte à l'international.

    Plus d'infos : https://www.cic.fr/fr/particuliers/c...ut-savoir.html

  10. #10
    Membre expérimenté
    Homme Profil pro
    retraité
    Inscrit en
    Septembre 2014
    Messages
    643
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : retraité

    Informations forums :
    Inscription : Septembre 2014
    Messages : 643
    Points : 1 521
    Points
    1 521
    Par défaut
    https://www.reddit.com/r/arnaques/co..._avec_un_iban/

    On y lit de ces bêtises...


    Foxinou
    Question : je ne suis plus client free depuis mars. Je peux suspendre le mandat free qui est marqué “actif” sur le site de ma banque ou ça ne sert à rien ?

    Fine_Barnacle_618

    Ça ne servira malheureusement à rien. Ton Iban ne change pas entre les differents sepa et est lié directement à ton compte :/

    Ben si banane, le mandat révoqué donc le prélèvement est rejeté d'office.
    Putain le classement PISA...
    On peut même supprimer le mandat dans son espace client. A voir selon les banques...
    Les mandats SEPA sont une "white list" : pas de prélèvement possible sans eux...
    Quant à inscrire un RIB d'un destinataire de virement ou d'un émetteur de prélèvement, vous le faite en agence ou dans votre espace client, et la banque fait un contrôle,
    le mandat met au moins 48h à être activé...0 La Banque Postale ça marche ainsi.

  11. #11
    Expert éminent sénior
    Avatar de Escapetiger
    Homme Profil pro
    Administrateur système Unix - Linux
    Inscrit en
    Juillet 2012
    Messages
    1 528
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Administrateur système Unix - Linux

    Informations forums :
    Inscription : Juillet 2012
    Messages : 1 528
    Points : 10 659
    Points
    10 659
    Par défaut
    https://www.cybermalveillance.gouv.f...es-free-202410
    Violation de données personnelles de l’opérateur Free : situation, risques et recommandations - Assistance aux victimes de cybermalveillance

    https://www.cybermalveillance.gouv.fr/


    Certaines données sont volontairement anonymisées par moi-même (Escapetiger sur developpez), merci de cliquer sur le site officiel au dessus

    Informations éditoriales

    GIP ACYMA
    6 rue Bouchardon – CS 50070 – 75481 Paris cedex 10

    Courriel : contact@cybermalveillance.gouv.fr
    Téléphone : ********************

    Directeur de la publication du contenu du site web : *********************, directeur général du Groupement d’Intérêt Public ACYMA (GIP ACYMA).

    La conception éditoriale, le suivi, la maintenance technique et les mises à jour du site internet sont assurés par les services du GIP ACYMA.

    Mentions légales - Assistance aux victimes de cybermalveillance

    https://www.cybermalveillance.gouv.f...ntions-legales
    Mentions légales

    Publié le 28 avril 2024 - Modifié le 30 juillet 2024
    https://fr.wikipedia.org/wiki/ACYMA

    Action contre la cybermalveillance (ACYMA) est un groupement d'intérêt public (GIP) français créé conventionnellement en mars 2017 à l'initiative de l'Agence nationale de la sécurité des systèmes d'information (ANSSI) et du ministère de l'Intérieur avec le concours du ministère de la Justice, du ministère de l'Économie et des Finances, ainsi que du secrétariat d'État chargé du Numérique. Sa composition inclut des acteurs publics et privés de la cybersécurité : des représentants de l’État, des utilisateurs ainsi que des prestataires et des sociétés de services. Le GIP ACYMA opère la plateforme de prévention et d'assistance aux victimes : ...
    « Developpez.com est un groupe international de bénévoles dont la motivation est l'entraide au sens large » (incl. forums developpez.net)
    Club des professionnels en informatique

    Liste des balises BB

  12. #12
    Chroniqueur Actualités

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    Juin 2023
    Messages
    1 054
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Bénin

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Juin 2023
    Messages : 1 054
    Points : 18 664
    Points
    18 664
    Par défaut Free met fin au télétravail pour les salariés de ses centres d’appels pour des raisons de cybersécurité
    Après la fuite de données, Free prend une décision radicale « pour des raisons de cybersécurité » et met fin au télétravail pour les salariés de ses centres d’appels
    déclenchant une grève des employés

    Les mesures prises par Free au lendemain du piratage historique d'octobre ne font pas l'unanimité au sein du personnel. En autres mesures, Free a mis fin au télétravail pour les salariés de ses centres d’appels, Free Proxi et Free Réseau. Mais la décision a suscité de vives protestations et une grève a été organisée dans les centres d'appels concernés. Free justifie cette mesure par des impératifs de cybersécurité, mais les syndicats affirment qu'il s'agit d'un prétexte fallacieux utilisé par l'opérateur de téléphonie mobile pour priver les employés du télétravail. Ils ajoutent que l'ordre de retour au bureau vise à pousser les employés à quitter volontairement l’entreprise.

    Un piratage qui révèle de graves problèmes de cybersécurité chez Free

    Le 22 octobre 2024, un membre d'un forum bien connu des cybercriminels annonçait disposer de données personnelles de millions de clients de Free. Il cherchait à vendre ces données au plus offrant. Le vol de données a été confirmé quelques jours plus tard par l'opérateur après qu'un acteur de la menace se faisant appeler « drussellx » a mis aux enchères les données de ses clients sur ledit forum. Au moins 19 millions de clients de Free étaient concernés.


    Les noms, prénoms, adresses email et postale, dates et lieux de naissance, numéros de téléphone, identifiants abonné et données contractuelles de dizaines de milliers de clients ont ainsi été dérobés, comme l’indiquait Free dans un courriel à ses souscripteurs concernés. Mais selon l’ingénieur en cybersécurité Clément Domingo, les IBAN (International Bank Account Number), code qui permet d’identifier un compte en banque, ont également été dérobés.

    Le vol de ces IBAN a été également confirmé par la suite par Free dans un courriel envoyé à certains de ses clients. Drussellx a affirmé avoir acquis les informations de 19,2 millions d'abonnés, dont cinq millions accompagnés des IBAN (pour des abonnés Freebox uniquement), le 17 octobre 2024. « La violation affecte tous les clients FREE Mobile et Freebox, et comprend les IBAN des 5,11 millions d'abonnés Freebox », a écrit drussellx dans une publication.

    En reconnaissant la faille, Free a indiqué que l'attaquant avait ciblé un outil de gestion qui lui permettait d'accéder aux données des abonnés, mais pas aux mots de passe, aux informations des cartes bancaires ou au contenu des communications. La société, qui est une filiale du groupe Iliad, a ensuite déposé une plainte pénale et a notifié l'incident à la CNIL et à l'ANSSI. drussellx dit avoir vendu une partie de ces données aux enchères pour 175 000 dollars.

    Les mesures prises par Free après le piratage ont déclenché une grève

    À la suite du piratage, Free avait promis des mesures adéquates pour renforcer la sécurité de ses opérations et de ses services. L'opérateur a finalement décidé de rétropédaler sur le télétravail, tout comme Amazon, Google, Zoom, Disney, Ubisoft, etc. Le fondateur du groupe, Xavier Niel, n'a jamais caché son opposition au travail à distance même si sa marque propose des services de télécommunication pour permettre aux gens de travailler depuis chez eux.

    Par conséquent, depuis la fin du mois de novembre, les employés de Free chargés d'assister les abonnés ne sont plus autorisés à télétravailler. Ils doivent maintenant impérativement se rendre dans les locaux de l’opérateur. La mesure a été très mal accueillie par les travailleurs. Et la CGT a appelé les salariés des centres d’appels de Marseille, Paris et Bordeaux à un débrayage de 10h à 12h ce lundi 9 décembre 2024 pour protester contre la fin du télétravail.

    Free affirme que la mesure vise à résoudre certains problèmes de cybersécurité. Mais la CGT réfute cette idée et affirme qu'il s'agit d'une façon déguisée de pousser des salariés à démissionner. Cette accusation revient de plus en plus avec la multiplication des ordres de retour au bureau dans l'industrie technologique. De nombreux travailleurs ont quitté leurs jobs au cours des dernières années après la suppression du télétravail par leurs employeurs.

    « La direction nous a enlevé le télétravail pour des raisons de cybersécurité apparemment, alors que c'était quand même un acquis social qui a apporté beaucoup de confort aux collaborateurs dans leur vie privée comme professionnels », dénonce Mohamed Ennourine, délégué syndical, CFTC qui souligne une diminution des effectifs de moitié en quatre ans. Pour les 360 employés de Certicoll, filiale de Free à Marseille, « il s'agit de la goutte d'eau de trop ».

    « Ils nous suppriment tous les avantages petit à petit », estime Nadia Boudjadit, déléguée syndicale de Certicoll, évoquant la baisse des primes et une réorganisation des services. Elle dénonce « les pressions exercées sur les salariés avec des objectifs inatteignables ». Elle est en charge des problèmes de raccordement à la souscription :

    Citation Envoyé par Nadia Boudjadit

    C'est mon métier principal et maintenant on me demande de vendre des abonnements, donc je contacte l'abonné pour trouver l'erreur et en plus, je dois lui vendre un abonnement mobile, sachant que la plupart des abonnés de Freebox ont déjà des abonnements mobiles. C'est une forme de pression, de chantage, c'est comme ça que le perçoivent les salariés, pour quitter le navire de leur propre chef ou aller chercher quelque chose ailleurs.
    Pour tenter d'apaiser les tensions, Free a annoncé une prime de 500 euros brut pour les salariés concernés. Mais les syndicats affirment qu'il s'agit d'une offre bien insuffisante. Ces derniers espèrent toutefois renouer le dialogue avec la direction, notamment pour faire annuler la mesure concernant le télétravail.

    Une mesure qui reflète une incapacité à corriger les problèmes de fond ?

    Les syndicats ont vivement critiqué Free et affirment que la décision de l'opérateur nuit au bien-être des salariés. Ils soulignent notamment son incapacité de Free à mettre en place des outils adéquats pour renforcer la cybersécurité, notamment des VPN sécurisés. Dans un communiqué partagé sur X, la CGT a écrit : « l’incapacité du groupe à mettre en place des VPN sécurisés finit par pénaliser les salariés, dans un contexte de baisse drastique d’effectifs ».

    La déléguée syndicale Nadia Boudjadit a également pointé du doigt d'autres mesures défavorables prises par l'opérateur : baisse des primes, réorganisations fréquentes, etc. Elle affirme que la suppression du télétravail constitue une atteinte à un équilibre crucial entre vie professionnelle et personnelle.

    Une centaine de salariés a débrayé devant les locaux d'Equaline à Bordeaux, ce qui représente à près d'un tiers des effectifs. « On nous a annoncé il y a dix jours l'arrêt de toute forme de travail à distance. Tous les accès à distance sont coupés à compter de ce matin », dénonce Christophe Risal, délégué syndical de la CGT.

    La CNIL a reçu plus de 2 000 plaintes à la suite du piratage de Free

    L'attaque informatique massive ayant visé Free aurait entraîné une vague de plaintes inédites auprès de la Commission nationale de l'informatique et des libertés (CNIL). Dans une déclaration à Ouest-France, Mathias Moulin, le secrétaire général adjoint de la CNIL, a indiqué que la CNIL a enregistré à ce stade plus de 2 000 plaintes liées au piratage de Free. Il s'agirait d'un nombre record de plaintes enregistrées dans le cadre d'un piratage informatique.

    Il a noté que le nombre record de plaintes témoigne d’une prise de conscience accrue des risques relatifs à la violation des données personnelles. D’autant qu’il ne s’agissait pas d’informations mineures : les noms, les adresses email et les IBAN sont concernés, ce qui peut entraîner des risques importants pour les clients.

    La CNIL a ouvert une enquête qui pourrait durer entre 8 et 10 mois. L’un des points examinés est le respect de l’obligation de moyens en matière de sécurité des données de Free, et l’opérateur pourrait écoper d’une sanction pouvant atteindre 4 % de son chiffre d’affaires si la CNIL juge qu’il n'est pas en règle.

    Et vous ?

    Quel est votre avis sur le sujet ?
    Que pensez-vous de la suppression du télétravail par Free pour des raisons de cybersécurité ?
    Les syndicats affirment que cette mesure vise à pousser les salariés à démissionner. Qu'en pensez-vous ?
    Cette mesure reflète-t-elle une incapacité de Free à résoudre les problèmes de fond ayant conduit au piratage d'octobre ?

    Voir aussi

    Piratage de Free : des cybercriminels prétendaient avoir vendu les données de 19 millions d'utilisateurs dont l'IBAN de 5 millions d'entre eux. Et si les données n'avaient pas été vendues ?

    Free : les données personnelles de 14 millions de clients en vente sur le dark Web, faux affirme Free

    Twilio, la société de communication sur le cloud, confirme avoir été victime d'une violation de données après la fuite de 33 millions de numéros de téléphone d'utilisateurs Authy, son outil MFA

  13. #13
    Membre éclairé

    Profil pro
    Inscrit en
    Mai 2003
    Messages
    324
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Mai 2003
    Messages : 324
    Points : 781
    Points
    781
    Billets dans le blog
    1
    Par défaut
    J'ai toujours été fidèle à Free puisqu'ils ont réussi à casser l'entente sur les prix de SFR, Bouygue et Orange... Mais là, s'ils traitent mal leurs employés... la donne change.

  14. #14
    Nouveau membre du Club
    Inscrit en
    Février 2007
    Messages
    15
    Détails du profil
    Informations forums :
    Inscription : Février 2007
    Messages : 15
    Points : 39
    Points
    39
    Par défaut
    Ouah, y a 2000 personnes qui ont réussi à trouver comment porter plainte sur la CNIL, ça c'est énorme ! Et je parle en connaissance de cause !

    Ils étaient censés faire un formulaire simplifié, je n'en ai jamais vu la couleur, j'ai dû passer 1 heure à naviguer sur le site pour trouver comment faire.

  15. #15
    Nouveau Candidat au Club
    Homme Profil pro
    utre
    Inscrit en
    Décembre 2024
    Messages
    1
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 35
    Localisation : France, Côte d'Or (Bourgogne)

    Informations professionnelles :
    Activité : utre

    Informations forums :
    Inscription : Décembre 2024
    Messages : 1
    Points : 1
    Points
    1
    Par défaut
    Un "insider" ?

    Lol.
    C'est pas non plus comme si certains l'avaient déjà soutenu, de par le fait que tous les témoins mênent à ce raisonnement, depuis le début.... :
    soremere.blog.free.fr/index.php?post/Free-fuite-2024

  16. #16
    Membre éclairé
    Homme Profil pro
    autre
    Inscrit en
    Juin 2014
    Messages
    213
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Aveyron (Midi Pyrénées)

    Informations professionnelles :
    Activité : autre

    Informations forums :
    Inscription : Juin 2014
    Messages : 213
    Points : 709
    Points
    709
    Par défaut
    Citation Envoyé par TotoParis Voir le message
    https://www.reddit.com/r/arnaques/co..._avec_un_iban/

    On y lit de ces bêtises...


    Foxinou
    Question : je ne suis plus client free depuis mars. Je peux suspendre le mandat free qui est marqué “actif” sur le site de ma banque ou ça ne sert à rien ?

    Fine_Barnacle_618

    Ça ne servira malheureusement à rien. Ton Iban ne change pas entre les differents sepa et est lié directement à ton compte :/

    Ben si banane, le mandat révoqué donc le prélèvement est rejeté d'office.
    Putain le classement PISA...
    On peut même supprimer le mandat dans son espace client. A voir selon les banques...
    Les mandats SEPA sont une "white list" : pas de prélèvement possible sans eux...
    Quant à inscrire un RIB d'un destinataire de virement ou d'un émetteur de prélèvement, vous le faite en agence ou dans votre espace client, et la banque fait un contrôle,
    le mandat met au moins 48h à être activé...0 La Banque Postale ça marche ainsi.
    Perso j'ai l'impression que les grosses entreprises n'ont même plus besoin d'un mandat pour prélever sur un compte. Je suppose que les banques les considèrent d'office comme légitimes.
    "Ha merde, j'ai oublié de prévenir ma banque que j'avais souscris chez l'entreprise Y, le prélèvement va pas passer". Quelques jours de fainéantise plus tard : "Ha bah si le prélèvement est passé...". Souvenirs lointains et peut-être déformés, si y'en a d'autres qui peuvent infirmer/confirmer de part leur expérience personnelle, je veux bien.

Discussions similaires

  1. Réponses: 1
    Dernier message: 09/05/2022, 09h41
  2. Réponses: 14
    Dernier message: 27/07/2020, 15h19
  3. Réponses: 4
    Dernier message: 23/11/2018, 15h16
  4. Réponses: 4
    Dernier message: 05/05/2017, 12h56
  5. Réponses: 5
    Dernier message: 28/11/2010, 20h01

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo