Piratage massif chez l opérateur Free: 5 millions d IBAN dans la nature, quels sont les risques pour les victimes ?

[AlbertoWin]

Pourquoi portez plainte contre Free et pas contre France Travail hacke y à quelques moi??

 

[Sans]

Ni contre la MIF ....
Ni contre tous les autres, État inclu

 

[jabsol]

Mais si il n'y a pas eu faute ou manquement, la situation est encore pire ...
Ça veut dire que ce qui est demandé de par la loi à tous ces organismes pour les autoriser à nous demander et stocker nos données est insuffisants 😳😳😳 😡

Pas du tout, cela peut être suffisant pour une attaque de l'extérieur par exemple, mais pour une attaque qui viendrait de l'intérieur tout dépend du mode opératoire du pirate.
Par exemple, s'il s'agit d'un ancien salarié qui a pu laissé un logiciel de son crû au sein des systèmes sans être détecté (c'est malheureusement tout à fait possible, tout dépend du niveau d'accès du salarié), et qui s'est activé des mois ou des années après.
Et tout dépend aussi de ce que les responsables de la sécurité chez Free ont réussi à faire imposer comme sécurités (tout étant toujours un compromis coût/valeur).
Bref on ne sait rien pour l'instant donc, inutile de tergiverser.

Les possibilités d'attaque sur un système informatique sont infinies, c'est la course permanente des gendarmes contre les voleurs (et cela depuis la nuit des temps).

Enfin, il ne faut pas être plus inquiet que cela, encore une fois nous sommes protégés en tant que consommateur par des gardes fous imposés par le législateur (remboursement obligatoire par exemple si aucune faute averée du consommateur etc...).

Quand aux solutions que je lis de type blockchain etc... il faut revenir sur terre : regardez le coût énergétique d'un système distribué tel que celui là pour des transactions assez basiques, et vous verrez que c'est tout simplement inapplicable pour tous les systèmes.

 

[Kephset]

Le comble ! Pas d'obligation de résultats pour tous ces organismes , Etat inclu ?, mais obligation pour nous sans aucune possibilité de faire autrement , de les leur fournir ! 😡😡😡
En fait je suis vraiment naïf 🤣 réf au post de @Buffeto 🤣

Ça a été dit et répété depuis le début mais ça n'a toujours pas l'air d'être compris, il n'existe PAS de système infaillible ! Que ce soit dans le privé ou organismes d'état. Les états ont les technos suffisantes pour se surveiller les uns les autres alors récupérer des données ça doit bien être dans leurs cordes oui.

Une obligation de résultat est donc par définition impossible. Aujourd'hui la CNIL regarde si les entreprises ont bien respecté ce qu'il était demandé de faire pour protéger les données, si c'est pas le cas ça aboutit à une amende mais si la société a mis les protections en place, à quoi ça sert de leur mettre des pénalités ?

 

[wwolf1]

C'est la CNIL qui jugera (encore que si ils sont du même niveau que l'AMF, il ne faut pas en attendre grand-chose) c'est clair. Mais l'action de la CNIL est déclenchée par les plaintes des personnes dont les données ont été compromises non ? C'est le sens de ma question : est-ce que ça sert a quelque chose de porter plainte ?
Il n'y a pas de système infaillible mais il y a des systèmes plus complexes à hacker que d'autres. Une porte à ouvrir ou cinq portes à ouvrir... Un autre point est que bien souvent la sécurité informatique est compromise par une erreur humaine ou par une procédure inappropriée, c'est l'humain le maillon faible. Dans ce cas, j'imagine que Free est responsable des actions de ses employés.

 

[Kephset]

C'est la CNIL qui jugera (encore que si ils sont du même niveau que l'AMF, il ne faut pas en attendre grand-chose) c'est clair. Mais l'action de la CNIL est déclenchée par les plaintes des personnes dont les données ont été compromises non ? C'est le sens de ma question : est-ce que ça sert a quelque chose de porter plainte ?
Il n'y a pas de système infaillible mais il y a des systèmes plus complexes à hacker que d'autres. Une porte à ouvrir ou cinq portes à ouvrir... Un autre point est que bien souvent la sécurité informatique est compromise par une erreur humaine ou par une procédure inappropriée, c'est l'humain le maillon faible. Dans ce cas, j'imagine que Free est responsable des actions de ses employés.

Ils ont l'air d'avoir de quoi s'occuper en tout cas [lien réservé abonné]
[lien réservé abonné]

 

[wwolf1]

Ah ouais ! Ils ont l'air plus efficaces que l'AMF !

 

[AlbertoWin]

ce qu'il était demandé de faire pour protéger les données

Et surtout quels données et combien de temps elles ont été conservées!

 

[Shvox]

Ça a été dit et répété depuis le début mais ça n'a toujours pas l'air d'être compris, il n'existe PAS de système infaillible ! Que ce soit dans le privé ou organismes d'état. Les états ont les technos suffisantes pour se surveiller les uns les autres alors récupérer des données ça doit bien être dans leurs cordes oui.

Une obligation de résultat est donc par définition impossible. Aujourd'hui la CNIL regarde si les entreprises ont bien respecté ce qu'il était demandé de faire pour protéger les données, si c'est pas le cas ça aboutit à une amende mais si la société a mis les protections en place, à quoi ça sert de leur mettre des pénalités ?

Pas d’obligation de résultat? Et pourtant :

Les associations de protection des consommateurs ne comptent pas en rester là. L’UFC-Que Choisir et la CLCV envisagent des actions collectives pour défendre les intérêts des abonnés affectés. “La responsabilité de Free est clairement engagée dans cette affaire”, affirme aux Echos [lien réservé abonné] Me Claire Dubois, avocate spécialisée en droit du numérique. “Les opérateurs ont une obligation de résultat en matière de protection des données personnelles de leurs clients.”

[lien réservé abonné]

 

[jabsol]

Pas d’obligation de résultat? Et pourtant :

Les associations de protection des consommateurs ne comptent pas en rester là. L’UFC-Que Choisir et la CLCV envisagent des actions collectives pour défendre les intérêts des abonnés affectés. “La responsabilité de Free est clairement engagée dans cette affaire”, affirme aux Echos [lien réservé abonné] Me Claire Dubois, avocate spécialisée en droit du numérique. “Les opérateurs ont une obligation de résultat en matière de protection des données personnelles de leurs clients.”

[lien réservé abonné]

Non il n'y a pas d'obligation de résultat, la preuve la législation européenne impose une communication en cas de piratage !
Si c'était aussi simple il n'y aurait pas besoin de tel règlements les piratages étant supposés impossibles.

Bref free à l'obligation de respecter les normes européennes et d'être à l'état de l'art en terme de cyber sécurité.
On ne peut évidemment rien exiger de plus, toute la question est : est-ce bien le cas ?
Si oui alors free n'aura rien à se reprocher sinon ca peut-être très compliqué...

 

[Shvox]

Non il n'y a pas d'obligation de résultat, la preuve la législation européenne impose une communication en cas de piratage !
Si c'était aussi simple il n'y aurait pas besoin de tel règlements les piratages étant supposés impossibles.

Bref free à l'obligation de respecter les normes européennes et d'être à l'état de l'art en terme de cyber sécurité.
On ne peut évidemment rien exiger de plus, toute la question est : est-ce bien le cas ?
Si oui alors free n'aura rien à se reprocher sinon ca peut-être très compliqué...

Je ne vois pas en quoi une obligation de résultat serait incompatible avec une obligation de communiquer en cas de piratage.
C’est deux choses différentes et en rien une preuve !

 

[jabsol]

Je ne vois pas en quoi une obligation de résultat serait incompatible avec une obligation de communiquer en cas de piratage.
C’est deux choses différentes et en rien une preuve !

C'est quoi selon vous l'obligation de résultat concernant la gestion de données personnelles ?

Si c'est pour vous de garantir la sécurité alors il faut oublier, on ne peut pas le faire, personne ne peut le faire, aucun état ne peut le faire non plus.

Si c'est garantir que les données sont sauvegardées avec backup, vérifiées, accessibles à un nombre de personnes restreintes et habilités, effacées au bout d'un certains temps etc.. alors oui on peut parler de résultats, mais je ne crois pas que ca soit cela dont il est question sur ce fil

 

[SM1LE]

Le problème c'est que les fraudeurs ont le numéro de compte des clients et peuvent potentiellement récupérer le mot de passe de ces derniers avec des appels vers les victimes. C'est le risque principal que j'identifie.

Car effectivement un prélèvement peut être rejeté sans problème..

 

[Sans]

Je lis, j'en apprends tous les jours , je comprends , grâce à vos explications

Ok, mais une conclusion, puisqu'il est impossible de sécuriser tout ça, et que ça ne sera jamais possible, si j'ai bien compris, alors qu'on nous laisse le choix, qu'on ne nous oblige pas à leur transmettre tous ces documents qui se doivent d'être protégés par voie dématérialisée etc... qu'on nous demande l'autorisation pour qu'ils soient conservés par eux etc... Et je ne parle pas que de FREE ... Ex récent la MIF dont personne ne parle, mis à part sur ce forum, et dont les documents divulgués sont autrement plus sensibles que ceux de FREE

Un exemple particulier : qu'on ne nous oblige plus à déclarer nos impôts en ligne, ni à les payer par prélèvement etc.... De mettre en ligne si notre logement est vacant ou pas (un fichier tout prêt pour les squatteurs ) Qu'on nous laisse le choix !

 

[Shvox]

C'est quoi selon vous l'obligation de résultat concernant la gestion de données personnelles ?

Si c'est pour vous de garantir la sécurité alors il faut oublier, on ne peut pas le faire, personne ne peut le faire, aucun état ne peut le faire non plus.

Si c'est garantir que les données sont sauvegardées avec backup, vérifiées, accessibles à un nombre de personnes restreintes et habilités, effacées au bout d'un certains temps etc.. alors oui on peut parler de résultats, mais je ne crois pas que ca soit cela dont il est question sur ce fil

L’obligation de résultat c'est tout simplement de ne pas avoir de fuite de données.
Cette obligation n’a pas été respectée c’est un fait.

Je comprends ce que vous voulez dire par impossible de garantir la sécurité car un système où l’humain intervient n’est jamais sans faille.
Mais en même temps on peut toujours faire plus pour la sécurité et se rapprocher du quasi impossible.
Est-ce que vous pensez sincèrement que free a mis tout en œuvre pour garantir cette sécurité?
Évidement que non il y avait forcément mieux à faire.
Mais tout cela a un coût et des entreprises à but lucratif ont tout intérêt à mettre le curseur au minimum vu l’absence de sanctions malheureusement.

 

[jabsol]

Je lis, j'en apprends tous les jours , je comprends , grâce à vos explications

Ok, mais une conclusion, puisqu'il est impossible de sécuriser tout ça, et que ça ne sera jamais possible, si j'ai bien compris, alors qu'on nous laisse le choix, qu'on ne nous oblige pas à leur transmettre tous ces documents qui se doivent d'être protégés par voie dématérialisée etc... qu'on nous demande l'autorisation pour qu'ils soient conservés par eux etc... Et je ne parle pas que de FREE ... Ex récent la MIF dont personne ne parle, mis à part sur ce forum, et dont les documents divulgués sont autrement plus sensibles que ceux de FREE

Un exemple particulier : qu'on ne nous oblige plus à déclarer nos impôts en ligne, ni à les payer par prélèvement etc.... De mettre en ligne si notre logement est vacant ou pas (un fichier tout prêt pour les squatteurs ) Qu'on nous laisse le choix !

Ce qu'il faut aussi comprendre c'est que tous ces systèmes sont bien plus sûrs que tout ce que l'on a pu faire jusqu'à présent.

Avant nos données personnelles étaient archivées dans de multiples classeurs, armoires etc de pleins de personnes, croyez moi ca n'était pas mieux ainsi...

Donc pour la sécurité de tous, pas le choix il faut continuer et en permanence améliorer la sécurité.

 

[jabsol]

L’obligation de résultat c'est tout simplement de ne pas avoir de fuite de données.

Impossible, inutile de rêver et de persister dans cette voie.

Est-ce que vous pensez sincèrement que free a mis tout en œuvre pour garantir cette sécurité?
Évidement que non il y avait forcément mieux à faire.

Je n'en sais vraiment et sincèrement rien, seule l'enquête le dira.
Vous pensez que le sujet est simple, je peux vous garantir que c'est d'une complexité infernale et que personne n'est à l'abri d'un piratage évolué.

Mais tout cela a un coût et des entreprises à but lucratif ont tout intérêt à mettre le curseur au minimum vu l’absence de sanctions malheureusement.

Non, c'est pour cela qu'il est obligatoire de communiquer en cas de piratage : l'image de l'entreprise est affectée et cela est très important.

 

[Sans]

Ce qu'il faut aussi comprendre c'est que tous ces systèmes sont bien plus sûrs que tout ce que l'on a pu faire jusqu'à présent.

Avant nos données personnelles étaient archivées dans de multiples classeurs, armoires etc de pleins de personnes, croyez moi ca n'était pas mieux ainsi...

Donc pour la sécurité de tous, pas le choix il faut continuer et en permanence améliorer la sécurité.

Peut-être...
Mais jamais eu de tel problème à cette époque-là...
D'ailleurs depuis quand parle t on autant de cas avérés d'usurpation d'identité ?

 

[jabsol]

Peut-être...
Mais jamais eu de tel problème à cette époque-là...
D'ailleurs depuis quand parle t on autant de cas avérés d'usurpation d'identité ?

A ma connaissance ca a toujours existé, depuis la nuit des temps.
C'est pour cela que l'homme a inventé plein de choses (les sceaux, les signatures...)

 

[Sans]

Avez vous trouvé le formulaire spécifique annoncé pour le 31, pour le dépôt de plainte ?

Je n'ai trouvé que ça :

[lien réservé abonné]

Des infos, des conseils intéressants même si pas rassurants du tout
Encore pire que ce qu'on pu évoquer ici

Heureusement le soleil est annoncé pour aujourd'hui
Soleil, nature, balade, couleurs d'automne .... et .... champignons .... les comestibles, pas les autres
Et bye bye ... tout ça...