« J’espère que l’incident de Free réveillera enfin les Français » : un des hackers s’exprime sur la fuite massive de données

 
Ce pourrait être l’ultime rebondissement de l’affaire autour de la cyberattaque d’ampleur contre Free. Interrogé par un site spécialisé, un des deux hackers derrière ce piratage révèle que les données siphonnées n’ont finalement pas été vendues. Le but de cette attaque est tout autre…

Une lueur d’espoir pour les abonnés Free ? Alors que les victimes de la cyberattaque viennent d’apprendre que la CNIL ne les aiderait pas à déposer plainte, un des hackers responsables de l’incident s’est exprimé au sujet de cette fuite massive de données. Selon lui, les données volées n’ont jamais été vendues contrairement à ce qui était affirmé la semaine dernière.

À lire aussi :
Piratage Free : le formulaire de plainte abandonné, mode d’emploi pour protéger vos droits

On peut souffler un coup

Contacté par le site spécialisé DataBreaches, « YuroSh » souhaitait « clarifier quelques détails » au sujet de la cyberattaque de Free. Pour prouver son implication, le hacker envoie même à ses interlocuteurs des informations personnelles sur Xavier Niel ainsi que des échanges de message avec un deuxième hacker avec qui il a mené cette opération, « drussellx ».

Jusque-là, nous pensions que le fichier contenant les données personnelles de plus de 19 millions de clients, dont 5,1 millions d’IBAN, avait été vendu aux enchères pour 175 000 dollars sur « l’Amazon de la cybercriminalité ». Selon YuroSh, ces données n’ont jamais été vendues, les hackers ayant d’autres objectifs en tête.

© SaxX/Twitter

Pour drussellx, ce piratage devait servir à extorquer Free en obligeant l’opérateur à racheter ces données. Mais YuroSh, dont le profil se rapproche plus de celui d’un « hacktiviste », souhaitait plutôt dénoncer les récentes politiques de surveillance globale en France. Rappelons que le gouvernement compte généraliser et pérenniser la vidéosurveillance algorithmique (VSA) qui était à l’origine une mesure de sécurité provisoire le temps des Jeux olympiques.

La France est devenue le premier pays d’Europe à légaliser la surveillance biométrique, soi-disant pour la sécurité publique lors d’événements majeurs comme les Jeux olympiques. […] Il ne s’agit pas de sécurité publique, mais de normalisation progressive de la surveillance de masse.

YuroSh

Se servir des médias pour « réveiller les français »

Ces clarifications arrivent bien tard. Rappelons que le piratage de Free se serait déroulé le 17 octobre, il y a bien une vingtaine de jours. Les hackers attendaient probablement que l’incident prenne plus d’ampleur médiatique pour obliger Free à revoir la sécurité de ses infrastructures et son respect du RGPD, mais aussi faire passer leur message.

Je ne suis pas un saint, mais j’espère que l’incident de Free réveillera enfin les Français sur la réalité de la surveillance de masse et qu’ils lutteront contre elle. […] Je déteste la surveillance et je pense que le seul moyen de les réveiller est de les pirater. Sinon, les choses ne changent pas.

YuroSh

On peut remettre en cause le discours, on peut aussi remettre en cause la façon de faire. Rien ne dit que cette cyberattaque pourrait changer quoi que ce soit concernant la VSA.

Il est cependant indéniable que ces hackers nous ont bel et bien « réveillés » sur la vulnérabilité de nos données et le peu de moyens que mettent certaines entreprises pour les protéger. Free a rejoint une longue liste de victimes à cause de ces manquements, après les attaques de SFR, France Travail, EDF, Boulanger, Cultura, etc…

Les hackers avaient déjà alerté Free sur ses failles de sécurité

En plus de ces clarifications, YuroSh révèle avoir signalé des failles de sécurité à Free il y a deux ans. Signaux apparemment ignorés, car les hackers auraient « envoyé des millions de requêtes pendant plusieurs semaines« . Et ce après que l’opérateur du Groupe iliad ait été condamné par la CNIL pour manquement à la protection des données personnelles.

Reste que la fuite de données personnelles de millions de clients et la divulgation en ligne de 100 000 IBAN sont, elles, bien réelles. Lorsqu’il lui est demandé de ce qu’il adviendra de ces données, YuroSh répond qu’il compte les garder ou les détruire. Rien n’est sûr, alors la prudence reste de mise.

À lire aussi :
IBAN volé : quels sont les risques si vos coordonnées bancaires fuitent en ligne ?


Les derniers articles