Free, SFR, Boulanger… Les fuites de données client de grandes entreprises sont en hausse
4 min. de lecture
Les incidents de cybersécurité sont de plus en plus courants et visent notamment les grandes organisations, en témoignent les cyberattaques récentes ayant ciblé des entreprises comme Free, SFR ou encore Boulanger. Des incidents qui ont un impact significatif sur un grand nombre d’utilisateurs. Retrouvez les données concernées par ces violations, les risques que cela implique et des conseils pour vous protéger.
Sommaire
Sommaire
Une cyberattaque visant Free a exposé les données de 19 millions d’abonnés
Free, deuxième opérateur téléphonique de France et fournisseur d’accès à Internet, a confirmé le 25 octobre 2024 avoir été victime d’un piratage de grande ampleur. Cette cyberattaque a entraîné un accès non autorisé aux informations personnelles de plus de 19 millions de clients.
Les données exposées comprennent les nom, prénom, adresse e-mail, adresse postale, date et lieu de naissance, numéro de téléphone, identifiant abonné et données relatives au contrat d’abonnement. La fuite de données concerne a priori les abonnés des offres Internet uniquement.
Le 28 octobre, Free a ajouté que les coordonnées bancaires de certains abonnés Freebox avaient également été divulguées.
En réaction à la première communication de l’opérateur, qui semblait minimiser l’incident, les hackers ayant revendiqué l’attaque ont publié un échantillon de 100 000 IBAN d’utilisateurs sur 5,11 millions de données bancaires dérobées.
SFR a fait l’objet d’une fuite de données via sa filiale REDbySFR
En septembre 2024, soit un mois avant Free, l’opérateur français SFR avait également été victime d’une violation de données. Suite à un incident de sécurité touchant les systèmes de sa filiale low-cost, REDbySFR, de nombreuses données sensibles de clients avaient été exposées.
Parmi les informations divulguées, on trouvait les nom, prénom, numéro de téléphone, adresse e-mail et adresse postale des utilisateurs, mais aussi leurs IBAN, ainsi que les numéros identifiant leurs appareils et leurs cartes SIM.
La fuite de données résultant de cette cyberattaque impactait les utilisateurs ayant récemment acheté un smartphone ou souscrit un contrat d’abonnement REDbySFR. Au total, plus de 50 000 abonnés étaient donc potentiellement concernés.
Suite à cette attaque, SFR a annoncé renforcer les mesures d’authentification au sein des comptes clients.
Une attaque massive a fait fuiter 27 millions de données des clients de Boulanger
À la même période, la grande enseigne high-tech Boulanger a elle aussi fait l’objet d’une cyberattaque majeure.
Pas moins de 27 millions de données client se sont alors retrouvées en vente sur un forum bien connu des criminels, considéré comme “l’Amazon de la cybercriminalité”. Les informations exposées comptaient les nom, prénom, adresse postale, numéro de téléphone, adresse e-mail, ainsi que les coordonnées géographiques des clients de l’enseigne.
Dans son communiqué, Boulanger précisait qu’il s’agissait “uniquement des adresses de livraison”, et que les coordonnées bancaires des clients n’avaient pas été touchées.
Quels sont les risques en cas de fuite de vos données ?
Selon le type de données divulguées, les risques qui se présentent aux utilisateurs sont multiples. Par exemple, si un hacker détient seulement votre IBAN, il ne peut pas faire grand chose. Cependant, associé à d’autres informations personnelles, il peut lui permettre de créer un mandat de prélèvement SEPA en votre nom.
Les vérifications de sécurité ayant parfois leurs failles dans les établissements bancaires, des prélèvements d’argent peuvent survenir contre votre gré. En outre, des versements destinés à votre compte, tels que des salaires ou des aides sociales, pourraient également être détournés.
Par ailleurs, la divulgation de vos coordonnées multiplie les risques d’appels, de SMS et d’e-mails frauduleux. Vous pourriez alors faire face à un plus grand nombre de tentatives de phishing, par exemple des appels de cybercriminels se faisant passer pour des téléconseillers ou des agents du service technique, pour vous inciter à souscrire un contrat factice ou à divulguer votre mot de passe.
Si votre adresse e-mail est exposée, cela peut également engendrer une multiplication des e-mails de spam. Si la plupart des services de messagerie électronique possèdent un filtre capable d’en éliminer une grande partie, certains e-mails sophistiqués risquent de passer entre les mailles du filet.
| Type de données | Risques |
|---|---|
| Nom et prénom | Usurpation d’identité, ingénierie sociale, harcèlement ciblé |
| Numéro de téléphone | Phishing par téléphone (vishing) ou SMS (smishing), harcèlement téléphonique, SIM swapping |
| Adresse e-mail | E-mails de spam, phishing, usurpation d’identité, piratage de vos comptes |
| Adresse postale | Usurpation d’identité, stalking, cambriolage, ouverture de comptes ou de contrats en votre nom |
| Coordonnées bancaires (IBAN) | Création de faux mandats SEPA, usurpation d’identité, détournement de versements |
| Informations de carte de crédit | Paiements non autorisés, achats frauduleux, clonage de carte, fraude à l’abonnement |
| Date et lieu de naissance | Usurpation d’identité |
| Numéro de sécurité sociale | Fraude à l’assurance, usurpation d’identité, ouverture de comptes ou de contrats en votre nom |
| Mot de passe | Piratage de vos comptes, accès non autorisé à vos données, utilisation de vos comptes pour d’autres attaques |
| Géolocalisation | Surveillance, stalking |
| Données médicales | Usurpation d’identité, chantage, ingénierie sociale |
| Photos / vidéos | Cyberharcèlement, chantage, sextorsion, création de deepfakes |
Comment savoir si vous êtes concerné ?
Les entreprises touchées par une cyberattaque sont tenues de prévenir individuellement tous les clients potentiellement concernés. Si vos données ont été exposées dans le cadre du piratage de l’une de ces entreprises, vous devriez avoir reçu un e-mail pour vous en informer. Toutefois, vous pouvez aussi contacter directement l’entreprise en question pour vous assurer que vos informations ne sont pas en danger.
Que faire si vous êtes concerné par une fuite de données ?
Depuis le début de l’année, les données personnelles de 8 Français sur 10 ont été dérobées, d’après le chercheur en cybersécurité SaxX. Ce dernier a alerté la communauté sur la majeure partie de ces violations de données, notamment via le réseau social X. Que vous soyez concerné ou non par une violation de données récente, nous vous recommandons de suivre ces mesures de cybersécurité pour vous protéger : mieux vaut prévenir que guérir.
- Soyez particulièrement vigilant lorsque vous naviguez et apprenez à reconnaître une arnaque sur Internet. Certains signes indiquent clairement une offre factice ou un message frauduleux, bien que certains criminels parviennent à être plus subtils.
- Surveillez attentivement l’activité de votre compte bancaire. Tout paiement non identifié devrait vous alerter, y compris pour une petite somme. En cas de doute, contactez votre banque.
- Méfiez-vous des messages suspects, des offres trop belles pour être vraies et des invitations pressantes. Vérifiez toujours l’expéditeur des messages que vous recevez, ne répondez pas à un SMS ou e-mail frauduleux, et ne cliquez jamais sur les liens ou les pièces jointes sans être 100% sûr de l’expéditeur.
- Utilisez NordVPN et activez la fonction Protection Anti-menaces Pro. En plus de vous protéger contre les logiciels malveillants et de bloquer les sites frauduleux, elle vous aide également à jouer les attaques de phishing. Enfin, Protection Anti-menaces Pro vous permet de recevoir des alertes en cas de fraude.
Munissez-vous d’un VPN et protégez vos données sensibles sur Internet.