Piratage Free : l’erreur d’une communication trop fragile

Dans la newsletter d’aujourd’hui:

Pour les abonnés gratuits:

• L’édito : Piratage Free : l’erreur d’une communication trop fragile

Pour les abonnés payants:

• La Tribune : Cybersécurité : collaborer pour faire face à une menace systémique

• Études : 67 % des entreprises ont vu une hausse du nombre de cyberattaques au cours de l’année écoulée selon l’Observatoire Hiscox

• A ne pas manquer sur le web : Delta Airlines attaque Crowdstrike en justice

19 millions de données de clients de l’opérateur Free auraient fuité sur le dark web ! Une affaire de plus, mais qui s’inscrit dans une série préoccupante de cyberattaques visant des acteurs majeurs, SFR, Pôle Emploi, la CAF ou encore France Connect. Mais le plus grave ici porte sur l’exposition frauduleuse de 5 millions d’IBANs. Certes, comme aucune information liée aux cartes bancaires n’a été compromise, les risques restent limités. Mais à partir de l’identité d’un individu, de son adresse mail, de son IBAN, un pirate peut déjà s’essayer à quelques manipulations. Mais le plus grave dans « l’affaire Free » concerne la communication de crise à l’égard des abonnés ou des partenaires bancaires. L’opérateur s’en est tenu au strict minimum.

Piratage Free : l’erreur d’une communication trop fragile

Nous sommes tous d’accord. Inutile d’affoler la planète entière dès qu’une fuite de données portant sur des informations à caractère personnel est rendue publique. Le climat général est suffisamment anxiogène pour ne pas en rajouter. Il faut par contre renforcer la sensibilisation et adopter une stratégie de communication adéquate sur les risques, la prévention, etc. En ce qui concerne Free, il est inadmissible qu’il ait fallu attendre plusieurs jours avant de recevoir la première notification sur l’attaque subie : « Free a été victime d’une cyberattaque ciblant un outil de gestion. Cette attaque a entraîné un accès non autorisé à une partie des données personnelles associées aux comptes de certains abonnés. Aucun mot de passe, carte bancaire, contenu des communications ne sont concernés etc, etc ». Bref le strict minimum. Aucune mention n’a par exemple été fournie sur le nombre de comptes clients piratés et la fuite d’IBANs a été minimisée. « Seuls les IBANs de certains abonnés Freebox ont été concernés, ces derniers ont été informés par email », a indiqué Free. Quelques jours plus tard, nous apprenions que « certains », cela représentait au final 5 millions de personnes… Et Free de poursuivre sa communication sur le signalement à faire auprès de sa banque dans le cas où un client aurait repéré un prélèvement habituel.

Trop de légèreté dans la communication de crise

Aujourd’hui, nous en savons un peu plus sur le pirate, sur le fait qu’il aurait déjà revendu la base subtilisée pour 170 000 dollars. L’opérateur de son côté assure qu’il a déposé plainte et que cet acte de malveillance l’a poussé à revoir l’ensemble des processus de cybersécurité de son infrastructure. On n’en attendait pas moins.

Je suis certain que Free a pris toutes les mesures et qu’au moindre incident avec un client, ils vont réagir. Ce qui me gêne est la légèreté avec laquelle l’affaire est traitée. Dis jours après l’annonce de ce piratage, aucune mention de mise en garde n’est faîte sur la page  d’accueil du site internet de Free, pour au moins rappeler quelques règles basiques de sécurité. Encore une fois, le but n’est pas d’inquiéter tout le monde mais à l’heure où la menace cyber devient quasi quotidienne, quelques rappels à la vigilance seraient bienvenus. Même chose pour les banques. Même si, encore une fois, le fait de voir son IBAN se promener dans la nature ne signifie pas que son compte en banque est en péril, nous aurions tous apprécié de recevoir un email de prévention de la part de notre établissement bancaire, nous rappelant : « que l’on ne communique pas d’informations via email ou par téléphone si l’on n’est pas certain de l’interlocuteur et surtout de rester en alerte en consultant régulièrement son compte pour vérifier qu’aucun prélèvement suspect n’apparaît ».

En attendant, nous allons voir comment réagissent les autorités au cours des prochains jours vis-à-vis de Free. Les répercussions d’une telle affaire pourraient vite devenir préoccupantes : sanctions financières pouvant atteindre 4% du chiffre d’affaires annuel global, actions en justice de la part des clients lésés, perte de confiance et atteinte à l’image de marque, surcoûts liés au renforcement de la sécurité, obligations accrues en termes de communication et de transparence ou encore contrôles règlementaires accrus.  

Appel à davantage de sanctions

Ce n’est pas ce que je souhaite pour cette entreprise mais il serait temps que nos autorités sortent davantage le bâton. Quand on apprend qu’en 2022, la Cnil avait déjà rappelé à l’ordre l’opérateur comme elle le fait assez souvent auprès d’autres entreprises. Qu’en est-il advenu de ces remontrances ? Quant à l’Anssi, elle se veut elle aussi de plus en plus intransigeante sur le respect des processus cyber, mais là encore, quelles actions sont entreprises auprès des organisations imprudentes. Nous attendons aujourd’hui plus de fermeté sur le sujet cyber. Personne n'est bien sûr à l’abri et le zéro défaut n’existe pas, mais dès qu’une entreprise ou qu’une administration est prise en faute, il est temps de sortir le carnet de PV en anticipation.

...