Le récent piratage de Free, géant français des télécommunications, marque un nouveau chapitre inquiétant dans l'escalade des cyberattaques : le pirate aurait réclamé via Telegram 10 millions d’euros de rançon à Free. Free s'est saisi du Tribunal Judiciaire de Paris pour contraindre la plateforme de messagerie à lui communiquer toutes les informations dont elle dispose sur l'individu qui s'en est servi pour faire chanter l’opérateur... ce que le Tribunal a accordé. La demande de rançon astronomique de 10 millions d'euros en cryptomonnaie, accompagnée de menaces de divulgation de données sensibles, met en lumière la vulnérabilité des grandes entreprises face aux hackers. Mais ce qui attire également l'attention, c'est l'implication de Telegram dans l'affaire, une plateforme souvent critiquée pour son rôle ambigu dans la cybersécurité et la protection des données.
Rappel des faits
Le 22 octobre, un utilisateur d'un forum bien connu des cybercriminels, annonçait disposer de données personnelles de millions de clients de l’opérateur Free. Il disait chercher à les vendre au plus offrant. Le vol de données a été confirmé quelques jours plus tard par Free. Le fournisseur d'accès à Internet a confirmé qu'il avait été piraté après qu'un cybercriminel se faisant appeler « drussellx » a mis aux enchères les données de ses clients sur ledit forum.
Les noms, prénoms, adresses e-mail et postale, dates et lieux de naissance, numéros de téléphone, identifiants abonné et données contractuelles de dizaines de milliers de clients ont ainsi été dérobés, comme l’indiquait Free dans un e-mail transmis à ses souscripteurs concernés.
Seulement, selon l’ingénieur en cybersécurité Clément Domingo, les IBAN (pour « International Bank Account Number »), code qui permet d’identifier un compte en banque, ont également été dérobés lors de cette attaque.
Le vol de ces IBAN a été confirmé par Free, dimanche, dans un courriel envoyé à certains de ses clients.
Drussellx a affirmé avoir acquis les informations de 19,2 millions d'abonnés, dont cinq millions accompagnés des IBAN (pour des abonnés Freebox uniquement), le 17 octobre 2024. La violation « affecte tous les clients FREE Mobile et Freebox, et comprend les IBAN des 5,11 millions d'abonnés Freebox », a écrit drussellx.
En reconnaissant la faille, FREE a indiqué que l'attaquant avait ciblé un outil de gestion qui lui permettait d'accéder aux données des abonnés, mais pas aux mots de passe, aux informations des cartes bancaires ou au contenu des communications. La société, qui est une filiale du groupe Iliad, a ensuite déposé une plainte pénale et a notifié l'incident à la CNIL et à l'ANSSI.
Deux priorités différentes quant à l'usage des données
Plus tôt ce mois-ci, drussellx a indiqué mettre aux enchères un fichier contenant pas moins de 100 000 lignes, avec des données personnelles de clients, dont les IBAN correspondants évidemment : « Si l'entreprise ne participe pas à cette unique vente aux enchères dans les prochains jours, cette copie sera vendue, ce qui entraînera de graves conséquences pour les clients, et sera probablement divulguée publiquement sur les forums dans un avenir proche », affirmait-il.
Quelques jours plus tard, un autre message est apparu. Celui-ci affirmait que les données avaient été vendues aux enchères pour 175 000 dollars. « Free thought the DB was free, ils n'ont rien compris », pouvait-on lire.
Le 3 novembre, l'histoire a pris une tournure surprenante. DataBreaches a été contacté par quelqu'un qui s'est identifié comme « YuroSh ». Il a affirmé être le pirate responsable de la fuite sur free.fr. « Je comprends que cette base de données a été présentée à la télévision française pendant des semaines, et j'aimerais clarifier quelques détails », a-t-il déclaré, fournissant à DataBreaches ce qui semble être les informations personnelles de Xavier Niel (PDG de FREE) comme preuve préliminaire de son implication.
Interrogé, YuroSh a déclaré que son rôle avait été d'aider à exploiter la vulnérabilité. DataBreaches lui a demandé de demander à drussellx d'envoyer un message privé à DataBreaches via BreachForums pour confirmer son implication. drussellx a ensuite envoyé à DataBreaches un message privé indiquant que YuroSh était responsable du piratage.
Apparemment, YuroSh et drussellx avaient des priorités différentes quant à l'usage qu'ils feraient des données, mais aucun d'entre eux ne voulait vraiment vendre les données des gens ou les divulguer. Drussellx aurait voulu extorquer FREE et aurait utilisé l'annonce de la mise aux enchères et l'annonce de la vente pour essayer de faire pression sur Free afin qu'il paie l'extorsion. YuroSh, quant à lui, semblait plus motivé par l'hacktivisme, déclarant à DataBreaches : « Je ne suis pas un saint, mais j'espère que l'incident free.fr réveillera enfin les Français sur la réalité de la surveillance de masse et qu'ils lutteront contre elle. La protection de la vie privée en France a été érodée à un point tel qu'elle est pratiquement inexistante ».
Le pirate demandait 10 millions d'euros : Telegram condamnée à communiquer ses données à Free
Dans une décision du 12 novembre du Tribunal Judiciaire de Paris, publiée par la Cour de cassation, il a été ordonné à la société Telegram messenger inc de communiquer à Free « tous les éléments permettant d’identifier la personne (ou les personnes) : Qui a créé le compte de la messagerie qui a permis d’envoyer le message litigieux à M. [J] ».
Cela concerne « le ou les numéros de téléphone, l’adresse IP attribuée, l’identifiant utilisé, l’adresse IP attribuée à la source de la connexion et le port associés et le numéro de téléphone à l’origine de la communication » recueillies lors de la création du compte Telegram et de l’envoi du message et finalement « toutes informations utiles à l’identification de la personne recherchée ».
À l’appui de leurs demandes, les sociétés Free et Free mobile exposent que le pirate informatique, qui est parvenu à détourner des données personnelles et bancaires des abonnés Free et Free mobile, aurait mis en vente les fichiers des données détournées sur le dark web et tente d’en négocier la restitution moyennant le versement d’une rançon.
Elles précisent qu’un certain « [Z] [L] » a adressé trois messages identiques le 21 octobre 2024 sur la plateforme DOP, qui est une plateforme dédiée à l’échange avec les abonnés pour leurs données personnelles, dans lesquels il menace d’utiliser frauduleusement les données piratées si une somme de 10 millions d’euros ne lui est pas payée en cryptomonnaie, ces messages n’ayant toutefois pas laissé de traces informatiques.
Elles ajoutent que le pirate a, encore sous le nom de « [Z] [L] », adressé un message à M. [J], qui est l’animateur historique du groupe Iliad-Free, sur son téléphone personnel par l’intermédiaire de la messagerie électronique Telegram[...].
En l’espèce, il ressort des pièces produites et des débats que les sociétés Free et Free mobile ont été victimes d’un piratage ayant permis au pirate de récupérer des données personnelles et bancaires de certains de leurs abonnés et que le président du groupe Iliad, M. [J], a reçu un message d’un certain « [Z] [L] » par l’intermédiaire de la messagerie électronique Telegram dans lequel il « laisse la possibilité à free d’acheter sa propre base ».
Elles précisent qu’un certain « [Z] [L] » a adressé trois messages identiques le 21 octobre 2024 sur la plateforme DOP, qui est une plateforme dédiée à l’échange avec les abonnés pour leurs données personnelles, dans lesquels il menace d’utiliser frauduleusement les données piratées si une somme de 10 millions d’euros ne lui est pas payée en cryptomonnaie, ces messages n’ayant toutefois pas laissé de traces informatiques.
Elles ajoutent que le pirate a, encore sous le nom de « [Z] [L] », adressé un message à M. [J], qui est l’animateur historique du groupe Iliad-Free, sur son téléphone personnel par l’intermédiaire de la messagerie électronique Telegram[...].
En l’espèce, il ressort des pièces produites et des débats que les sociétés Free et Free mobile ont été victimes d’un piratage ayant permis au pirate de récupérer des données personnelles et bancaires de certains de leurs abonnés et que le président du groupe Iliad, M. [J], a reçu un message d’un certain « [Z] [L] » par l’intermédiaire de la messagerie électronique Telegram dans lequel il « laisse la possibilité à free d’acheter sa propre base ».
Depuis l’arrestation de Pavel Durov, Telegram s’est engagé mieux collaborer avec la justice sur ses demandes d’identification d’utilisateurs
Telegram était un gros sujet à controverse en raison d'une quasi-inexistence de modération sur l'application. Selon un récent rapport sur le sujet, cela a favorisé l'émergence de milliers de chaînes Telegram qui vendent des identités volées, des drogues illicites et du matériel pédopornographique (CSAM), faisant de la plateforme un nouveau type de darknet pour les criminels. Cependant, les choses ont commencé à changer avec l'arrestation en France du PDG Pavel Durov. Les premiers changements introduits par Telegram suite à cette arrestation suggéraient que l'application veut se débarrasser de sa réputation de paradis pour les criminels.
Telegram, qui ignorait largement les réquisitions judiciaires, serait désormais pleinement disposé à collaborer avec la justice et les forces de l'ordre. « La porte s’ouvre vraiment », a confirmé à Libération Johanna Brousse, cheffe de la section J3 de la juridiction nationale de lutte contre la criminalité organisée (Junalco) du parquet de Paris. La section J3 est dédiée à la cybercriminalité. L'entreprise aurait même déjà collaboré sur certains cas pour montrer sa bonne foi.
« Si Telegram reçoit un ordre valide des autorités judiciaires compétentes confirmant que vous êtes un suspect dans une affaire impliquant des activités criminelles qui violent les conditions d'utilisation de Telegram, nous effectuerons une analyse juridique de la demande et pourrons divulguer votre adresse IP et votre numéro de téléphone aux autorités compétentes », lit-on dans la nouvelle mise à jour.
Dans une publication sur Telegram, Pavel Durov explique que l'entreprise apporte ces modifications afin de « dissuader les criminels d'abuser » de la fonction de recherche de l'application. La fonction de recherche de Telegram permet aux utilisateurs de rechercher des canaux publics et des bots, mais Pavel Durov affirme qu'elle a été utilisée de manière abusive par des personnes « pour vendre des produits illégaux ».
« Nous avons clairement indiqué que les adresses IP et les numéros de téléphone de ceux qui enfreignent nos règles peuvent être divulgués aux autorités compétentes en réponse à des demandes légales valables », écrit Pavel Durov dans un message publié sur son canal Telegram. « Nous ne laisserons pas de mauvais acteurs mettre en péril l'intégrité de notre plateforme pour près d'un milliard d'utilisateurs. »
Source : décision du Tribunal Judiciaire de Paris
Et vous ?
Quels standards minimums de sécurité devraient être imposés aux entreprises pour protéger les données des utilisateurs ? Free est-il un cas isolé ou reflète-t-il une tendance plus large de sous-investissement dans la cybersécurité ? Les entreprises victimes de cyberattaques devraient-elles être obligées de publier un rapport détaillé sur leurs failles ? Telegram doit-il céder aux pressions des autorités et transmettre les données demandées, même si cela va à l'encontre de sa politique de confidentialité ? Comment trouver un équilibre entre la protection de la vie privée des utilisateurs et la lutte contre la cybercriminalité ? Les plateformes de communication devraient-elles être tenues légalement responsables si elles refusent de coopérer avec les autorités dans des affaires criminelles ? 
Envoyé par steel-finger
