Nouveau retournement de situation dans l’affaire de la fuite de données massives dont a été victime l’opérateur Free. Fin octobre, des pirates ont mis la main sur une base de données comportant les informations de 19,2 millions de clients ainsi que 5,11 millions d'IBAN. Si on pensait celle-ci vendue, ce n'est sans doute pas le cas. Selon une enquête de DataBreaches, la manœuvre avait surtout pour but de faire pression sur l’opérateur afin de lui faire améliorer ses pratiques de sécurité.
Reprenons depuis le début. Le 26 octobre, un pirate au pseudo de « drussellx » pirate et met en vente une base de données comportant les informations de clients Free Mobile et Freebox. Pour prouver qu'il détient bien le butin, il distribue gratuitement 100 000 IBAN. Quatre jours plus tard, il affirme avoir trouvé un acheteur pour la coquette somme de 175 000 $.
Fin de l’histoire ? Pas vraiment. Un autre utilisateur du même forum de malandrins se faisant appeler « YuroSh » affirme qu’il a lui aussi participé à cette fuite. L’hypothèse est crédible étant donné que drussellx a confirmé son implication et que le pirate a envoyé les informations personnelles de Xavier Niel à DataBreaches. YuroSh déclare que les données n’ont jamais été vendues, et que cela n’a jamais été le projet. Si drussellx avait dans l’idée de faire payer une rançon à Free, YuroSh se présente plutôt comme un hacktiviste, à savoir un militant utilisant ses capacités de pirates pour faire bouger les choses dans le bon sens.
Le pirate affirme avoir informé Free de vulnérabilités par le passé, que l’opérateur aurait ignorées. Il explique « détester la surveillance globale » et voit ce piratage comme un moyen de mettre un coup de pied dans la fourmilière. Il précise :
Chaque citoyen français a probablement été victime d'une fuite au moins une fois. Parmi les bases de données récemment piratées figurent Free, SFR, France Travail, Ameli, la CAF (Caisse d'allocations familiales), la FFF (Fédération Française de Football), Ledger, LDLC, Shadow et Cdiscount. Je ne suis pas un saint, mais j'espère que l'incident free.fr réveillera enfin les Français sur la réalité de la surveillance de masse et qu'ils lutteront contre elle.
Les forces de l'ordre françaises sont allées jusqu'à cibler ProtonMail, Tor et d'autres outils de protection de la vie privée, en les qualifiant de criminels. Elles ont rendu l'utilisation de ces protections suspecte, tout en négligeant les violations réelles. Ils prétendent qu'il s'agit de lutter contre les cybermenaces, mais en réalité, il s'agit d'une attaque contre les libertés individuelles.
À le croire, le piratage visait donc seulement à mettre la pression sur Free. Les quelque 19 millions d'abonnés touchés peuvent-ils souffler ? Pas vraiment. Si YuroSh et son compère ne veulent pas vendre les données, ils envisagent cependant de « les garder ou de les détruire ». L’un des deux a tout de même diffusé quelques IBAN dans la nature et avait en tête de faire payer une rançon à Free. Pour rappel, l'opérateur avait été condamnée à une amende de 300 000 € fin 2022 pour des manquements de sécurité.
