Piratage massif chez l opérateur Free: 5 millions d IBAN dans la nature, quels sont les risques pour les victimes ?

[Axiles]

Je me demande si je ne commence pas à faire les frais de cette attaque... Depuis environ 30 minutes, je reçois une quantité de spam astronomique... Je n'ai jamais vu ça...

Afficher la pièce jointe 42100

Ca m'est arrivé une fois, ça ressemble à une vengeance de quelqu'un (un hacker de bas niveau, que sais-je) qui vous a inscrit de force à des dizaines de newsletter sans validation de l'inscription. Vous allez avoir du spam à trier pour quelques semaines... Bon courage. Pas de solution magique.

Ca peut aussi cacher une tentative de fraude, avec dans les milliers de spam un mail important que le hacker essaie de cacher.

Prudence.

Un peu de lecture

https://www.reddit.com/r/hacking/comments/zh16bz/email_spam_subscriptions

 

[Axiles]

Bien sur que c'est compliqué parce que nos lois ne sont pas adaptées au monde numérique. Mais je ne vois pas en quoi je devrais avoir été victime d'un acte malveillant pour être indemnise : le fait que mes données personnelles soient exposées constitue un préjudice.

Sauf clause pénale, on indemnise un préjudice, c'est un peu la base hein, monde numérique ou non. Je ne vois pas en quoi c'est inadapté au monde numérique.

A vous de prouver quel est ce préjudice. C'est tout mon point. C'est bien beau de dire "je souffre d'un préjudice", il faut le prouver surtout, puis le chiffrer. Et ça n'a rien d'évident. Supposons

 

[wwolf1]

Mon préjudice est que vu que mon IBAN et que mes données personnelles ont été exposées, je dois surveiller mon compte bancaire et je suis la cible de plusieurs emails de phishing tous les jours.
Je peux donc dire que je passe 15mn par jour à ces taches et donc j'estime mon préjudice à 30 euros par jour.

 

[niklos]

Vous allez avoir du spam à trier pour quelques semaines... Bon courage. Pas de solution magique.

Bah le résultat c'est qu'au lieu d'avoir une liste noire, j'ai fait une liste blanche... Reste plus qu'à l'alimenter... J'espère ne pas passer à côté de truc important.
edit : curieux... Ca s'est arrêté comme ça a commencé...

 

[Axiles]

Mon préjudice est que vu que mon IBAN et que mes données personnelles ont été exposées, je dois surveiller mon compte bancaire et je suis la cible de plusieurs emails de phishing tous les jours.
Je peux donc dire que je passe 15mn par jour à ces taches et donc j'estime mon préjudice à 30 euros par jour.

Essayez ça en justice ou auprès d'un médiateur qu'on rigole

Notez que je ne remets pas en cause ce que vous dites vivre, mais que ça soit prouvable et chiffrable :

• Ne devriez-vous pas dans tous les cas surveiller vos transactions ? Cela ne fait-il pas partie de ce que tout le monde doit faire, risque de fraude ou non ?
• Vous êtes payé 120€ de l'heure pour juger qu'un quart d'heure vaut 30€ ?
• Comment pouvez-vous prouver que le phishing qui vous vise est la faute de Free est pas des dix autres fuites de données associées à votre email ?
• Etc.

Bah le résultat c'est qu'au lieu d'avoir une liste noire, j'ai fait une liste blanche... Reste plus qu'à l'alimenter... J'espère ne pas passer à côté de truc important. edit : curieux... Ca s'est arrêté comme ça a commencé...

Attention, que ça s'arrête c'est normal, vous avez reçu les mails de confirmation d'inscription, mais vous risque de recevoir maintenant les newsletters, à leur fréquence individuelle. Sans se désinscrire de chacune, le spam va persister. Et risque si vous vous désinscrivez de confirme que les mails sont lus, ce que les spammeurs adorent... Pas d'option parfaite :/

 

[niklos]

Sans se désinscrire de chacune, le spam va persister. Et risque si vous vous désinscrivez de confirme que les mails sont lus, ce que les spammeurs adorent... Pas d'option parfaite

Si, liste noire... Je bloque les emails des newsletter.

 

[wwolf1]

Essayez ça en justice ou auprès d'un médiateur qu'on rigole

Notez que je ne remets pas en cause ce que vous dites vivre, mais que ça soit prouvable et chiffrable :

• Ne devriez-vous pas dans tous les cas surveiller vos transactions ? Cela ne fait-il pas partie de ce que tout le monde doit faire, risque de fraude ou non ?
• Vous êtes payé 120€ de l'heure pour juger qu'un quart d'heure vaut 30€ ?
• Comment pouvez-vous prouver que le phishing qui vous vise est la faute de Free est pas des dix autres fuites de données associées à votre email ?
• Etc.

Oui parce que la loi est mal faite : moi président je mettrai un barème d'indemnisation en cas de fuites de donnees personnelles :
- nom, adresse, date de naissance, etc... rien de bien sensible : X euros,
- coordonnees bancaires, mot de passes, etc donnees plus sensibles : XX euros,
- donnees medicales, tres sensibles, etc... XXX euros.

Sinon je ne regarde pas mes comptes bancaires régulièrement (maintenant beaucoup plus a cause de FREE), 30 euros est probablement sous-estimé et pour le phishing c''est assez simple car c'est un mélange de coordonnées (nom, email, IBAN) que je n'ai fourni qu'a FREE.

Si vous etes un peu au fait de ce qui se passe dans le domaine de la cybersécurité, vous savez que pas mal de boites négligent cet aspect car elles considerent que ca coute cher, que le risque est faible, et que c'est pas rentable. D'autre part, comme disait un intervenant ici, elles conservent des données personnelles sans aucune raison. Il faut que le législateur les poussent a changer de paradigme

 

[Goupil26]

Et ca continue encore et encore.... cette fois ci c'est un éditeur de logiciel de sécurité qui est concerné...==> [lien réservé abonné]

 

[Titi892]

C'est la raison du blackout de Quantalys, on en a parlé ces dernières semaines sur un autre post.

 

[niklos]

Ne sachant pas trop où raconter l'histoire qui va suivre... On va la mettre ici...
Donc suite au piratage de Free, j'ai eu un mail de "service publique" disant qu'il y avait eu une connexion à mon compte des impôts. J'ai contrôlé l'historique, en effet, ce n'était pas moi. J'ai modifié mes différents mots de passe et mis des mots de passe forts partout. Dans le même temps, il a fallu attendre que les impôts m'envoie un courrier m'indiquant un nouveau mot de passe temporaire. J'ai donc remis un nouveau mot de passe (maintenant j'utilise keepass donc un truc vraiment aléatoire, unique et fort).

Cette nuit, je reçois un email des impôts indiquant qu'il y avait eu une connexion inhabituelle ("avait eu" et pas "tentative de") à mon compte et qu'ils verrouillaient mon compte... Et qu'il faut à nouveau attendre un courrier avec le nouveau mot de passe.
Là je me dis : "mince, encore !!". Je contrôle l'historique des connexions... La dernière a eu lieu il y a plus de 2 semaines et c'était via Trustme (donc avec mes empruntes digitales... Donc c'était moi)...

Allez comprendre...

 

[nono52]

Cette nuit, je reçois un email des impôts indiquant qu'il y avait eu une connexion inhabituelle ("avait eu" et pas "tentative de") à mon compte et qu'ils verrouillaient mon compte... Et qu'il faut à nouveau attendre un courrier avec le nouveau mot de passe.
Là je me dis : "mince, encore !!". Je contrôle l'historique des connexions... La dernière a eu lieu il y a plus de 2 semaines et c'était via Trustme (donc avec mes empruntes digitales... Donc c'était moi)...

Allez comprendre...

Bonjour @niklos
je pense que tu as vérifié l'adresse d'envoi de ce mail qui doit se terminer par : @dgfip.finances.gouv.fr

et non par : @dgfip-finances-gouv.info ou autres

tiens nous au courant de la suite

 

[niklos]

Hello @nono52 . Je n'avais pas contrôlé, mais mon compte sur le site des impôts est bien verrouillé lui. Aucun doute là dessus (ça j'avais contrôlé).
Je viens de regarder l'adresse mail en question : [email protected]

 

[Axiles]

Ça coulerait aussi des sociétés déjà exsangues. Beaucoup de sociétés ne se remettent pas d'attaques comme celles-ci.

Comme sur beaucoup de sujets, le simplisme n'est pas vraiment la bonne réponse. Et une bonne partie du sujet c'est nous, et savoir donner des infos uniquement quand c'est nécessaire.

Vous pouvez partir du principe que toute société est à risque, et que toute donnée est à risque. C'est malheureusement la réalité avec laquelle il faut vivre. Et apprendre à s'en protéger.

Encore une société qui coule à cause d'une attaque cyber
[lien réservé abonné]

 

[moietmoi]

Encore une société qui coule à cause d'une attaque cyber
[lien réservé abonné]

On ne peut que plaindre les salariés..mais une pme de logiciels qui n'a pas son backup complet, et qui laisse les clients dans le vide,ça laisse rêveur .
Qu'une entreprise de production de chaussures ou de voitures soit victime d'une cyberattaque et se retrouve bloquée, on peut dire que c'est de la faute du directeur informatique.
Mais une entreprise de logiciels, j'ai comme une impression de malaise.

 

[zyxel]

On ne peut que plaindre les salariés..mais une pme de logiciels qui n'a pas son backup complet, et qui laisse les clients dans le vide,ça laisse rêveur .
Qu'une entreprise de production de chaussures ou de voitures soit victime d'une cyberattaque et se retrouve bloquée, on peut dire que c'est de la faute du directeur informatique.
Mais une entreprise de logiciels, j'ai comme une impression de malaise.

Orange cyberdéfense a aussi été touché !

 

[Axiles]

On ne peut que plaindre les salariés..mais une pme de logiciels qui n'a pas son backup complet, et qui laisse les clients dans le vide,ça laisse rêveur .
Qu'une entreprise de production de chaussures ou de voitures soit victime d'une cyberattaque et se retrouve bloquée, on peut dire que c'est de la faute du directeur informatique.
Mais une entreprise de logiciels, j'ai comme une impression de malaise.

Je connais un peu Ce dossier et je ne vais pas vous donner tort sur cet exemple précis

Cela étant dit, gare aux généralisations, malheureusement la question n'est pas tant de savoir si on va être victime un jour que quand. Et même en étant préparé, il suffit de peu pour être victime. Et même quand on est Crowdstrike, on fait des erreurs qui peuvent mettre par terre la moitié de l'internet mondial

 

[moietmoi]

Je connais un peu Ce dossier et je ne vais pas vous donner tort sur cet exemple précis

Cela étant dit, gare aux généralisations, malheureusement la question n'est pas tant de savoir si on va être victime un jour que quand

Tout à fait.. en 1987, je vendais des solutions de reprise d'activités pour des PME équipée d'IBM 34/36/43..
En 24 h une solution en Algeco avec climatisation était mis en place avec restauration de l'ensemble des sessions par un back up sur un autre mainframe émulant les plus petits et grandissant la reprise des transactions...
Pour une pme c'est vital aujourd'hui.. donc les PME qui n'ont pas de plan de secours incluant un back up complet sont candidates à la faillite.

 

[Ageoff]

grandissant la reprise des transactions

Garantissant, non ?

 

[viappia]

Tout à fait.. en 1987, je vendais des solutions de reprise d'activités pour des PME équipée d'IBM 34/36/43..
En 24 h une solution en Algeco avec climatisation était mis en place avec restauration de l'ensemble des sessions par un back up sur un autre mainframe émulant les plus petits et grandissant la reprise des transactions...
Pour une pme c'est vital aujourd'hui.. donc les PME qui n'ont pas de plan de secours incluant un back up complet sont candidates à la faillite.

Cela dit, l'informatique de 1987 et celle de 2025 n'ont plus rien en commun, la complexité, l'hétérogéinité, les interconnexions, les front/back/extranet/système de protection/BD/cloud ....... etc, sont un challenge d'une toute autre nature qu'un gros IBM isolé du monde extérieur servant exclusivement des applicatifs simplissimes (dans nos yeux d'aujourd'hui) et des traitements batch cloisonnés.
La sécurité informatique est un véritable défi en 2025, c'est effectivement très cher et pour une PME sans culture informatique, trouver le bon prestataire réellement compétent en la matière est un challenge tant les vrais spécialistes sont monnaie peu courante (surtout en France où, globalement, les compétences techniques se réduisent depuis des dizaines d'années) et, cerise sur le gâteau, les risques évoluent quasi quotidiennement, les failles étant découvertes et répertoriées quotidiennement...

 

[moietmoi]

Cela dit, l'informatique de 1987 et celle de 2025 n'ont plus rien en commun, la complexité, l'hétérogéinité, les interconnexions, les front/back/extranet/système de protection/BD/cloud ....... etc, sont un challenge d'une toute autre nature qu'un gros IBM isolé du monde extérieur servant exclusivement des applicatifs simplissimes (dans nos yeux d'aujourd'hui) et des traitements batch cloisonnés.
La sécurité informatique est un véritable défi en 2025, c'est effectivement très cher et pour une PME sans culture informatique, trouver le bon prestataire réellement compétent en la matière est un challenge tant les vrais spécialistes sont monnaie peu courante (surtout en France où, globalement, les compétences techniques se réduisent depuis des dizaines d'années) et, cerise sur le gâteau, les risques évoluent quasi quotidiennement, les failles étant découvertes et répertoriées quotidiennement...

Certes.
La question de fond pour une pme c'est l'affectation des fonds..
Combien pour la sécurité informatique.?
Quel budget et quelles solutions.
Les questions n'ont pas changé. À l'époque on disait que 40% des entreprises (PME) ayant subi un désastre informatique faisait faillite dans les 3 ans ..
Cela n'a pas du beaucoup changé.

les failles étant découvertes et répertoriées quotidiennement

Ceci peut parfaitement expliquer la fuite chez Free, mais n'excuse en rien la PME qui n'a pas son backup prêt à prendre le relais.
Les voleurs ont toujours une longueur d'avance, mais il ne faut pas leur faciliter le travail..