Piratage massif chez l opérateur Free: 5 millions d IBAN dans la nature, quels sont les risques pour les victimes ?

[AlbertoWin]

Enfin ! J'espère que la CNIL va commencer à taper fort avec toutes ces boites qui ne protègent pas suffisamment nos données.
Amende de la CNIL pour Free [lien réservé abonné]

Et l'Etat aussi pour ces fuites... ah non quand c'est l'Etat Zero problème.

 

[moietmoi]

Et l'Etat aussi pour ces fuites... ah non quand c'est l'Etat Zero problème.

Tu veux nous faire payer des impôts en plus pour honorer les amendes de l'état.
?
....
J'aimerais bien voir les rapports de l'ANSSI..

 

[Axiles]

J'attends de voir l'amende de Pôle Emploi.

 

[Philbox]

Je ne sais pas si les fuites de données chez Free en sont l’origine, mais mercredi dernier, j’ai reçu un sms d’un escroc livreur qui me dit qu’il a un paquet, qu’il est passé plus tôt (alors que j’étais chez moi) et me donne un lien pour me donner un nouveau rendez vous ou un point relais.

J’ai déjà souvent reçu des sms de ce genre mais la différence avec celui ci, est qu’en plus de mon numéro de portable, il donne mon nom de famille et mon adresse postale complète. Le français est approximatif avec "merci de me joindre cela" ou "un relais" au lieu de point relais.

J’ai bloqué le numéro qui commence par 07 et je l’ai transféré au 33700…

 

[nono52]

Je ne sais pas si les fuites de données chez Free en sont l’origine, mais mercredi dernier, j’ai reçu un sms d’un escroc livreur qui me dit qu’il a un paquet, qu’il est passé plus tôt (alors que j’étais chez moi) et me donne un lien pour me donner un nouveau rendez vous ou un point relais.

J’ai déjà souvent reçu des sms de ce genre mais la différence avec celui ci, est qu’en plus de mon numéro de portable, il donne mon nom de famille et mon adresse postale complète. Le français est approximatif avec "merci de me joindre cela" ou "un relais" au lieu de point relais.

J’ai bloqué le numéro qui commence par 07 et je l’ai transféré au 33700…

Si tu as été victime d'une fuite de données chez Free, tu vas régulièrement recevoir des mails ou SMS.
c'est vrai que de recevoir un mail avec ton IBAN, ton adresse et ton tél peut au départ te déstabiliser mais les escrocs comptent surtout sur toi pour faire une erreur.
Donc pas de panique, regarde le mail d'envoi et tu verras que ce sont des mails exotiques.

 

[AlbertoWin]

Pour info sur Gmail, vous cliquez sur la coche à côté de "moi" et vous avez des validations sur l'expéditeur et l'email utilisé. Exemple:

 

[wwolf1]

Il y a certains mails de fishing qui sont très bien faits et qui peuvent vraiment prêter a confusion.
J'en ai recu un des impots (soit-disant) qui etait plutot pas mal. Difficile de deceler que c'etait un faux.
Dans ma boite, ils nous envoie des mails de phishing pour nous tester...

 

[Philbox]

Je n’ai pas parlé de mails mais de SMS. Je ne suis pas inquiet et je sais comment déjouer les pièges car j’en reçois tous les jours. Déjà je ne réponds à aucun appel ou sms de quelqu’un que je ne connais pas et ça aide grandement. Pour les appels, on ne peut pas me joindre en anonyme et si on ne me laisse pas de message, je bloque. Pour les mails, ils sont tous dans les spams et je n’en reçois aucun dans ma boîte de réception.

Visiblement je fais partie d’une campagne de phshing…
[lien réservé abonné]

Même un journaliste de BFM s’y intéresse…

 

[Philbox]

Au mois de novembre, la société Colis Privé m’a envoyé un mail m’indiquant:

Nous souhaitons vous informer que nous avons récemment constaté un incident ayant entraîné un accès non autorisé et limité à certaines données sur une partie de nos systèmes. Dès sa détection, nos équipes ont mis fin à l’incident.
Nos investigations ont permis de confirmer que seules des informations de contact sont potentiellement impliquées : nom, prénom, adresse postale, adresse électronique, et numéro de téléphone.
Soyez rassurés, aucune donnée bancaire, aucun mot de passe ni aucune information sensible n’est concernée….

Je n’ai pas de compte chez Colis Privé mais lors d’une commande, il est possible que j’ai dû me faire livrer par cette plateforme lorsque le commerçant l’utilise….

[lien réservé abonné]

 

[nono52]

Au mois de novembre, la société Colis Privé m’a envoyé un mail m’indiquant:

Je n’ai pas de compte chez Colis Privé mais lors d’une commande, il est possible que j’ai dû me faire livrer par cette plateforme lorsque le commerçant l’utilise….

Oui, Colis privé est utilisé par Amazon.

 

[Axiles]

Au mois de novembre, la société Colis Privé m’a envoyé un mail m’indiquant:

Nous souhaitons vous informer que nous avons récemment constaté un incident ayant entraîné un accès non autorisé et limité à certaines données sur une partie de nos systèmes. Dès sa détection, nos équipes ont mis fin à l’incident.
Nos investigations ont permis de confirmer que seules des informations de contact sont potentiellement impliquées : nom, prénom, adresse postale, adresse électronique, et numéro de téléphone.
Soyez rassurés, aucune donnée bancaire, aucun mot de passe ni aucune information sensible n’est concernée….

Je n’ai pas de compte chez Colis Privé mais lors d’une commande, il est possible que j’ai dû me faire livrer par cette plateforme lorsque le commerçant l’utilise….

[lien réservé abonné]

L'occasion de rappeler une bonne pratique : toujours mettre des données légèrement fausses dès que c'est possible. Quand je reçois du phishing adressé à un alias que j'utilise, je sais que ça n'a rien d'officiel par exemple.

Ca ne résout pas tout (Free par exemple, tu es obligé de mettre des infos fiables, mais ça aide à trier.

 

[Cygne06]

Depuis que mes SMS passent par "Google Message" sur mon Android, la plupart des SMSs de Phishing "Colis" ou le dernier de "Bourso Bank" je ne les vois plus car ils sont identifiés comme Spam par Google et donc masqués.

Par contre, ils apparaissent toujours dans "Mobile Connecté" de Microsoft ! Dommage ....

 

[wwolf1]

J'attends de voir l'amende de Pôle Emploi.

5 Millions d'euros.

 

[Axiles]

5 Millions d'euros.

Donc plus de huit fois moins que Free.

Dur de ne pas voir un deux poids deux mesures…

 

[wwolf1]

Je ne suis pas trop au courant de la nature de la fuite chez France Travail. Mais le message est quand meme "Attention a ce que vous faites, l'impunité n'existe plus"

 

[Axiles]

Je ne suis pas trop au courant de la nature de la fuite chez France Travail. Mais le message est quand meme "Attention a ce que vous faites, l'impunité n'existe plus"

L'amende pour Free ne me choque pas du tout en tout cas. Le message "faites attention aux data" doit être porté. Encore plus pour un récidiviste comme Free, qui n'avait pas corrigé les failles malgré les alertes (si j'ai bien compris).

Ce qui m'interpelle c'est Pôle Emploi qui écope de 8 fois mois, alors que l'organisme public avait gardé, pépouze, 20 ans de données dont ils n'avaient pas besoin ! On était pas dans le cas d'une faiblesse de process ou d'outils, mais vraiment en mode "je ne regarde même pas le sujet". 20 ans, 40 millions de personnes concernées. Les attaquants sont restés un mois dans les systèmes Pôle Emploi.

Pire, ça ne s'améliore pas. Encore une fuit en juin 2025. Refuite en octobre 2025 avec 30.000 dossiers complets (donc du permis de conduire, RIB, avis d'imposition, CNI, etc.). Ca fait donc mars 2024, juin 2025, octobre 2025. Et une 4e encore plus récente
[lien réservé abonné]

Alors, sachant qu'il y a répétition, et que l'amende ne vise que la première attaque, ça veut peut-être dire qu'il y en aura d'autres. Et je l'espère. Car un acteur public, en monopole, à qui tu es obligé de donner tes infos, doit être encore plus irréprochable. Et là c'est l'inverse. J'insiste mais 20 ans de données, jamais effacées. C'est inquiétant sur le mépris de ce qui est la base du RGPD : tu ne conserves que la donnée que tu as un fondement à garder. Quelle raison justifiait de conserver en 2024 le dossier demandeur d'emploi précis de quelqu'un au chômage en 2004 ? La CNIL est très clémente je trouve.

Que tu ne puisses jamais prévenir à 100% le risque est une certitude. Et on ne devrait pas punir un acteur juste parce qu'il est victime (j'insiste, victime) d'une cyber attaque. Mais si la cause de son ampleur est le mépris de la protection de la donnée à la source, et que le problème est répété 4 fois en un an et demi, je considère que la sanction doit être exemplaire.

 

[Axiles]

J'ai lu la décision en détails. [lien réservé abonné]

Quelques éléments qui ne manquent pas de sel :

• L'amende est plafonnée à 10m€ pour un acteur public. Sans plafond pour une entreprise. Pardonnez la vulgarité mais WTF ! Pas étonnant que ce soit moins pour France Travail, l'inverse serait impossible...
• Pareil, la base, mais un conseiller pouvait voir tous les dossiers. Pas juste les siens. Je mets de côté la cyberattaque mais combien de conseillers ont pu utiliser leur accès pour aller espionner le salaire d'un proche, ou pire encore ?
• J'ai simplifié mais c'est pire en fait. Ce sont les accès de structure juridiquement différentes de Pôle Emploi, qui n'était pas limités.

Il existe 98 structures CAP EMPLOI en France, qui sont représentées auprès des pouvoirs publics, des décideurs économiques et des partenaires sociaux par le Conseil national handicap et emploi des organismes de placement spécialisés (CHEOPS). Les structures CAP EMPLOI sont autonomes et généralement créées sous forme associative, indépendantes de FRANCE TRAVAIL. Elles accompagnent environ 20 % des personnes en situation de handicap inscrites auprès de FRANCE TRAVAIL.

Donc ces structures non affiliées à Pôle Emploi accompagnent un handicapé sur 5 parmi tous ceux inscrits à Pôle Emploi. Et les structures ont eu accès à... tout. 40 millions de dossiers.

Pire :

5. Afin de permettre cette offre de service intégrée, un " traitement de données de santé nécessaires à l’accompagnement adapté des demandeurs d’emploi en situation de handicap " a été créé par le décret n° 2022-1161 du 16 août 2022 (articles D. 5312-50 à D. 5312-54 du code du travail). Ce décret autorise l’intégration de l’accompagnement par CAP EMPLOI au système d’information de FRANCE TRAVAIL. La Commission nationale de l’informatique et des libertés (ci-après " la CNIL " ou " la Commission ") a rendu un avis sur ce traitement dans sa délibération n° 2022-050 du 21 avril 2022 (non publique).

Ca veut dire quoi ? Que la décision de donner des accès ainsi totaux date... d'après le RGPD.

Le timing de la cyber attaque fait froid dans le dos (le gras est de moi)

Le jeudi 29 février 2024, une activité anormale a été détectée sur le système de mesure de performances du système d’information de FRANCE TRAVAIL, entraînant une indisponibilité partielle du service et une forte consommation en ressources. L’alerte a été constatée et prise en compte le lundi 4 mars 2024 en fin de journée, puis a donné lieu à des investigations le mardi 5 mars 2024.

Détails ici [lien réservé abonné]

L'alerte a été constatée le 4 mars. Alors que l'activité anormale du 29 février...

Pour rappel, France Travail c'est 45.000 salariés. Pas vraiment le genre de structures qui n'a pas les moyens d'avoir un département DPO ou un département cybersécurité avec des astreintes 24/24...

 

[niklos]

L'alerte a été constatée le 4 mars. Alors que l'activité anormale du 29 février...

On notera quand même que le 29 février était un jeudi. Il est possible que l'activité anormale ait commencée après l'heure de fermeture.
Le vendredi, il peut y avoir pas mal de CP, le lundi aussi... Ca n'excuse pas, mais ça peut expliquer en parti.

 

[attentif]

• L'amende est plafonnée à 10m€ pour un acteur public. Sans plafond pour une entreprise. Pardonnez la vulgarité mais WTF ! Pas étonnant que ce soit moins pour France Travail, l'inverse serait impossible...

Bonjour @Axiles ,

Chaque Etat membre de l'UE peut préciser, dans son droit interne, dans quelle mesure les autorités publiques peuvent être soumises aux sanctions (article 83.7 du RGPD). La France a choisi d’appliquer, pour les organismes publics, un plafond plus restrictif : 10 millions d’euros.

Pour les organismes privés, c'est 20 millions d'euros ou 4% du chiffre d'affaires mondial, le montant le plus élevé des deux étant pris en compte.

 

[AlbertoWin]

Encore une fois une amende payé par nos impots pour nos impots. Mais est-ce que les problèmes sont gérés? Il y a aucune sécurité ou traçabilité.