Données de FREE vendues pour 175 000 $ ?

Posted On 31 Oct 2024

Le présumé pirate de FREE affirme avoir vendu la base de données clients de l’opérateur pour la coquette somme de 175 000 $. Et la marmotte, elle met le chocolat dans le papier alu ?

Les cyber actus zataz sur WhatsApp

Dans la course aux clics et à l’audience — où certains semblent absolument vouloir figurer parmi le top des influenceurs/influenceuses par tous les moyens — beaucoup se précipitent pour relayer les propos du présumé pirate informatique de Free, sans vérification. Dans la nuit du 29 au 30 octobre, un hacker malveillant [Aka Drussellx, Dalton Russel], supposé détenteur des données clients de FREE, a déclaré publiquement avoir vendu les informations de 19 millions de personnes pour 175 000 $.

Une seule source, reprise partout sans questionnement !

Pourtant, le 26 octobre, ce fameux Drussellx évoquait encore des négociations à 70 000 $ (message qu’il a depuis supprimé, ainsi que l’échantillon, ci-dessous). Et dès ce 30 octobre, ZATAZ repérait ces « données » en vente sur plusieurs espaces du darkweb. En seulement quatre jours, le prix aurait donc grimpé à plus du double ? Tout en restant en vente ? Il y a de quoi douter.

De 70 000 à 175 000$ ? Vraiment !? – Capture écran : zataz.com

D’autant qu’un acheteur aurait avant tout une chose en tête : rentabiliser son investissement et le multiplier par 10, voire par 100, rapidement. Or, cet acheteur fait face à trois obstacles majeurs dans l’hypothèse où il aurait acquis les données de millions de clients : un renforcement de la sécurité chez FREE, avec des alertes envoyées aux clients ; une plainte pénale, mobilisant la justice française à la poursuite du ou des cybercriminels ; et, en prime, le risque que les mêmes données soient revendues plusieurs fois !

Le 31 octobre, la base de données était encore en vente, sur Telegram ! – Capture écran : zataz.com

Autre point intriguant : imaginez-vous à la place de l’acheteur, mettant 175 000 $ sur la table. Il est peu probable que vous acceptiez que le vendeur en parle publiquement et mette votre achat en vente ailleurs. Peut-être même auriez-vous envie de le « faire taire« , disons en lui offrant une leçon de brasse avec du béton aux pieds…

Et bien que les transactions en cryptomonnaie laissent des traces, difficile de croire qu’un éventuel paiement ait été fait via des cartes cadeaux Amazon ou Décathlon.

Notons aussi que l’annonce liée aux IBAN semble avoir été supprimée par le vendeur. Pourquoi ne pas supprimer toutes les annonces ? Pourquoi s’exposer et attirer l’attention des mafias 2.0, avides de croquer dans cette tirelire ? Serait-ce un escroc en possession d’informations récoltées en septembre, tentant de les revendre avec quelques mises à jour ? Possible ! Les escrocs aiment souvent se « tondre » entre eux. Par exemple, ZATAZ a repéré sur divers espaces du darkweb des « ventes » reprenant des échantillons publiés quelques jours plus tôt sur BreachForums. Sûrement des arnaques entre pirates [captures écrans ci-dessus].

Des échantillons (toujours les mêmes) sur PastBin signées par un troisième pirate ! Capture écran : zataz.com

Gratuit, chaque samedi, dans votre boîte mail.

Opération « Acces »

Qui est donc ce vendeur ? Selon une source de ZATAZ, il s’agirait du même groupe derrière les attaques ayant visé SFR, Boulanger, Cultura, et bien d’autres. Parmi cette « bande » (se cachant derrière une créature mythologique célèbre dans plusieurs cultures antique et moyenâgeuse), on retrouve des adeptes du LookUp, dont ZATAZ parlait en juillet dernier. Cet été, deux membres de ce groupe proposaient pour quelques dizaines d’euros un accès aux données de GRDF, SFR, et plus encore (lire article ZATAZ, juillet 2024).

Ce pirate et ses complices avaient connexions à de nombreux portails d’entreprises, avec des accès, dans certains cas, encore valides. Il y a quelques jours, ils diffusaient d’ailleurs une annonce pour accéder à l’espace interne d’une enseigne de grande distribution française. « Très certainement du fake, commente une source pirate de ZATAZ, tout comme les fausses fuites de Darty et GoSport.«

Le 13 octobre un accés à une enseigne de la grande distribution était affichée par les pirates. – Capture écran : zataz.com

FREE, quant à lui, n’a pas pour habitude de rester inactif face aux piratages. En 2015, Iliad avait fait condamner un pirate à 2 ans de prison ferme dans une affaire similaire, et pour des enjeux bien moindres.

Dernier détail, sur Telegram ou encore BreachForum, Drussellx affiche le personnage du film « Inside Man : l’homme de l’intérieur« , no comment !

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Protégez vos communications : comment garantir l’authenticité de vos emails ?

5 Comments

Marc 03/11/2024 at 21:08 Reply

Bonjour Monsieur Bancal,

Je me permets de vous contacter en tant que client de Free, préoccupé par la récente exposition de données sensibles (nom, prénom, adresse postale, date de naissance, IBAN, et plus encore) qui compromet gravement la sécurité de milliers de clients. Free a reconnu publiquement cette faille de sécurité, révélant un niveau de protection nettement insuffisant pour des informations aussi critiques.

Il est aujourd’hui crucial que les clients concernés puissent agir ensemble pour déposer une plainte collective auprès de la CNIL. Une telle démarche enverrait un message fort à Free et à tous les opérateurs de télécoms quant à leur responsabilité en matière de protection des données personnelles. Au-delà d’une sanction financière, des mesures de sécurité strictes, incluant un chiffrement de haut niveau, doivent être exigées pour toutes les données sensibles afin de prévenir de futurs incidents.

Votre expertise et votre influence dans le domaine de la cybersécurité peuvent jouer un rôle essentiel pour sensibiliser le public et inciter à l’action. En tant qu’expert reconnu, je pense que vous pourriez être un porte-parole puissant pour encourager les démarches auprès de la CNIL et assurer une réelle prise de conscience de la part des opérateurs.

Je vous remercie pour l’attention que vous porterez à ce message et pour votre engagement continu en faveur de la sécurité des données de tous.

Bien cordialement.

Marc
- Damien Bancal 07/11/2024 at 12:52 Reply
  
  Bonjour,
  Il faut être TRES prudent avec tous ce qui a été raconté sur cette « affaire ». Trop de gens parlent sans savoir.
  Pour preuve, ZATAZ a indiqué qu’il fallait avoir des doutes sur la vente, Etc. Les réseaux ont préféré reprendre des Tweets de gens qui n’y connaissent rien.
  Une semaine plus tard, la « vente » n’est plus confirmée, par le pirate.
  
  Bien cordialement
Johan 05/11/2024 at 12:49 Reply

Bonjour,

Free a reconnu une fuite des données.
Je me pose donc la question de savoir si Free a réellement subit cette fuite de données ou si elle se base sur les informations du pirate et dans ce cas n’aurait pas détecté la fuite, ce qui serait plus grave
Bosjr 13/11/2024 at 10:11 Reply

Fuite ou pas fuite ?
Des infos à ce jour ?
Quelle vulnérabilité a été exploité ?
Posons la question à Free
Concurrence entre SFR et FREE ?
- Damien Bancal 14/11/2024 at 14:25 Reply
  
  Bonjour,
  Nous avons d’autres informations qui seront diffusées en temps et en heure.
  Preuve que ZATAZ avait vu juste depuis le début : le pseudo pirate a indiqué à un blog américain n’avoir JAMAIS vendu les données.
  En attendant, laissons la justice s’occuper de ces adolescents qui ont joué avec le feu (mensonges, arnaques, Etc.) et qui ont eu de la publicité par des personnes qui n’y connaissent pas grand chose.
  Bien cordialement