
La demande de rançon astronomique de 10 millions d'euros en cryptomonnaie, accompagnée de menaces de divulgation de données sensibles, met en lumière la vulnérabilité des grandes entreprises face aux hackers. Mais ce qui attire également l'attention, c'est l'implication de Telegram dans l'affaire, une plateforme souvent critiquée pour son rôle ambigu dans la cybersécurité et la protection des données.
Rappel des faits
Le 22 octobre, un utilisateur d'un forum bien connu des cybercriminels, annonçait disposer de données personnelles de millions de clients de l’opérateur Free. Il disait chercher à les vendre au plus offrant. Le vol de données a été confirmé quelques jours plus tard par Free. Le fournisseur d'accès à Internet a confirmé qu'il avait été piraté après qu'un cybercriminel se faisant appeler « drussellx » a mis aux enchères les données de ses clients sur ledit forum.
Les noms, prénoms, adresses e-mail et postale, dates et lieux de naissance, numéros de téléphone, identifiants abonné et données contractuelles de dizaines de milliers de clients ont ainsi été dérobés, comme l’indiquait Free dans un e-mail transmis à ses souscripteurs concernés.
Seulement, selon l’ingénieur en cybersécurité Clément Domingo, les IBAN (pour « International Bank Account Number »), code qui permet d’identifier un compte en banque, ont également été dérobés lors de cette attaque.
Le vol de ces IBAN a été confirmé par Free, dimanche, dans un courriel envoyé à certains de ses clients.
Drussellx a affirmé avoir acquis les informations de 19,2 millions d'abonnés, dont cinq millions accompagnés des IBAN (pour des abonnés Freebox uniquement), le 17 octobre 2024. La violation « affecte tous les clients FREE Mobile et Freebox, et comprend les IBAN des 5,11 millions d'abonnés Freebox », a écrit drussellx.
En reconnaissant la faille, FREE a indiqué que l'attaquant avait ciblé un outil de gestion qui lui permettait d'accéder aux données des abonnés, mais pas aux mots de passe, aux informations des cartes bancaires ou au contenu des communications. La société, qui est une filiale du groupe Iliad, a ensuite déposé une plainte pénale et a notifié l'incident à la CNIL et à l'ANSSI.
Deux priorités différentes quant à l'usage des données
Plus tôt ce mois-ci, drussellx a indiqué mettre aux enchères un fichier contenant pas moins de 100 000 lignes, avec des données personnelles de clients, dont les IBAN correspondants évidemment : « Si l'entreprise ne participe pas à cette unique vente aux enchères dans les prochains jours, cette copie sera vendue, ce qui entraînera de graves conséquences pour les clients, et sera probablement divulguée publiquement sur les forums dans un avenir proche », affirmait-il.
Quelques jours plus tard, un autre message est apparu. Celui-ci affirmait que les données avaient été vendues aux enchères pour 175 000 dollars. « Free thought the DB was free, ils n'ont rien compris », pouvait-on lire.
Le 3 novembre, l'histoire a pris une tournure surprenante. DataBreaches a été contacté par quelqu'un qui s'est identifié comme « YuroSh ». Il a affirmé être le pirate responsable de la fuite sur free.fr. « Je comprends que cette base de données a été présentée à la télévision française pendant des semaines, et j'aimerais clarifier quelques détails », a-t-il déclaré, fournissant à DataBreaches ce qui semble être les informations personnelles de Xavier Niel (PDG de FREE) comme preuve préliminaire de son implication.
Interrogé, YuroSh a déclaré que son rôle avait été d'aider à exploiter la vulnérabilité. DataBreaches lui a demandé de demander à drussellx d'envoyer un message privé à DataBreaches via BreachForums pour confirmer son implication. drussellx a ensuite envoyé à DataBreaches un message privé indiquant que YuroSh était responsable du piratage.
Apparemment, YuroSh et drussellx avaient des priorités différentes quant à l'usage qu'ils feraient des données, mais aucun d'entre eux ne voulait vraiment vendre les données des gens ou les divulguer. Drussellx aurait voulu extorquer FREE et aurait utilisé l'annonce de la mise aux enchères et l'annonce de la vente pour essayer de faire pression sur Free afin qu'il paie l'extorsion. YuroSh, quant à lui, semblait plus motivé par l'hacktivisme, déclarant à DataBreaches : « Je ne suis pas un saint, mais j'espère que l'incident free.fr réveillera enfin les Français sur la réalité de la surveillance de masse et qu'ils lutteront contre elle. La protection de la vie privée en France a été érodée à un point tel qu'elle est pratiquement inexistante ».
Le pirate demandait 10 millions d'euros : Telegram condamnée à communiquer ses données à Free
Dans une décision du 12 novembre du Tribunal Judiciaire de Paris, publiée par la Cour de cassation, il a été ordonné à la société Telegram messenger inc de communiquer à Free « tous les éléments permettant d’identifier la personne (ou les personnes) : Qui a créé le compte de la messagerie qui a permis d’envoyer le message litigieux à M. [J] ».
Cela concerne « le ou les numéros de téléphone, l’adresse IP attribuée, l’identifiant utilisé, l’adresse IP attribuée à la source de la connexion et le port associés et le numéro de téléphone à l’origine de la communication » recueillies lors de la création du compte Telegram et de l’envoi du message et finalement « toutes informations utiles à l’identification de la personne recherchée ».
À l’appui de leurs demandes, les sociétés Free et Free mobile exposent que le pirate informatique, qui est parvenu à détourner des données personnelles et bancaires des abonnés Free et Free mobile, aurait mis en vente les fichiers des données détournées sur le dark web et tente d’en négocier la restitution moyennant le versement d’une rançon.
Elles précisent qu’un certain « [Z] [L] » a adressé trois messages identiques le 21 octobre 2024 sur la plateforme DOP, qui est une plateforme dédiée à l’échange avec les abonnés pour leurs données personnelles, dans lesquels il menace d’utiliser frauduleusement les données piratées si une somme de 10 millions d’euros ne lui est pas payée en cryptomonnaie, ces messages n’ayant toutefois pas laissé de traces informatiques.
Elles ajoutent que le pirate a, encore sous le nom de « [Z] [L] », adressé un message à M. [J], qui est l’animateur historique du groupe Iliad-Free, sur son téléphone personnel par l’intermédiaire de la messagerie électronique Telegram[...].
En l’espèce, il ressort des pièces produites et des débats que les sociétés Free et Free mobile ont été victimes d’un piratage ayant permis au pirate de récupérer des données personnelles et bancaires de certains de leurs abonnés et que le président du groupe Iliad, M. [J], a reçu un message d’un certain « [Z] [L] » par l’intermédiaire de la messagerie électronique Telegram dans lequel il « laisse la possibilité à free d’acheter sa propre base ».
Elles précisent qu’un certain « [Z] [L] » a adressé trois messages identiques le 21 octobre 2024 sur la plateforme DOP, qui est une plateforme dédiée à l’échange avec les abonnés pour leurs données personnelles, dans lesquels il menace d’utiliser frauduleusement les données piratées si une somme de 10 millions d’euros ne lui est pas payée en cryptomonnaie, ces messages n’ayant toutefois pas laissé de traces informatiques.
Elles ajoutent que le pirate a, encore sous le nom de « [Z] [L] », adressé un message à M. [J], qui est l’animateur historique du groupe Iliad-Free, sur son téléphone personnel par l’intermédiaire de la messagerie électronique Telegram[...].
En l’espèce, il ressort des pièces produites et des débats que les sociétés Free et Free mobile ont été victimes d’un piratage ayant permis au pirate de récupérer des données personnelles et bancaires de certains de leurs abonnés et que le président du groupe Iliad, M. [J], a reçu un message d’un certain « [Z] [L] » par l’intermédiaire de la messagerie électronique Telegram dans lequel il « laisse la possibilité à free d’acheter sa propre base ».
Depuis l’arrestation de Pavel Durov, Telegram s’est engagé mieux collaborer avec la justice sur ses demandes d’identification d’utilisateurs
Telegram était un gros sujet à controverse en raison d'une quasi-inexistence...
La fin de cet article est réservée aux abonnés. Soutenez le Club Developpez.com en prenant un abonnement pour que nous puissions continuer à vous proposer des publications.