Les mesures prises par Free au lendemain du piratage historique d'octobre ne font pas l'unanimité au sein du personnel. En autres mesures, Free a mis fin au télétravail pour les salariés de ses centres d’appels, Free Proxi et Free Réseau. Mais la décision a suscité de vives protestations et une grève a été organisée dans les centres d'appels concernés. Free justifie cette mesure par des impératifs de cybersécurité, mais les syndicats affirment qu'il s'agit d'un prétexte fallacieux utilisé par l'opérateur de téléphonie mobile pour priver les employés du télétravail. Ils ajoutent que l'ordre de retour au bureau vise à pousser les employés à quitter volontairement l’entreprise.Un piratage qui révèle de graves problèmes de cybersécurité chez Free
Le 22 octobre 2024, un membre d'un forum bien connu des cybercriminels annonçait disposer de données personnelles de millions de clients de Free. Il cherchait à vendre ces données au plus offrant. Le vol de données a été confirmé quelques jours plus tard par l'opérateur après qu'un acteur de la menace se faisant appeler « drussellx » a mis aux enchères les données de ses clients sur ledit forum. Au moins 19 millions de clients de Free étaient concernés.
Un mouvement de grève s'effectue au sein d'un centre d'appels de Free a Marseille (Certicall) du fait d'un PSE déguisé mais aussi d'un arrêt total et brutal du télétravail. Cette grève a lieu lundi 09 décembre pour la CGT et vendredi 13 pour FO. pic.twitter.com/R09EiLwM9a
— Katia Yakoubi (@M13Katia) December 7, 2024
Les noms, prénoms, adresses email et postale, dates et lieux de naissance, numéros de téléphone, identifiants abonné et données contractuelles de dizaines de milliers de clients ont ainsi été dérobés, comme l’indiquait Free dans un courriel à ses souscripteurs concernés. Mais selon l’ingénieur en cybersécurité Clément Domingo, les IBAN (International Bank Account Number), code qui permet d’identifier un compte en banque, ont également été dérobés.
Le vol de ces IBAN a été également confirmé par la suite par Free dans un courriel envoyé à certains de ses clients. Drussellx a affirmé avoir acquis les informations de 19,2 millions d'abonnés, dont cinq millions accompagnés des IBAN (pour des abonnés Freebox uniquement), le 17 octobre 2024. « La violation affecte tous les clients FREE Mobile et Freebox, et comprend les IBAN des 5,11 millions d'abonnés Freebox », a écrit drussellx dans une publication.
En reconnaissant la faille, Free a indiqué que l'attaquant avait ciblé un outil de gestion qui lui permettait d'accéder aux données des abonnés, mais pas aux mots de passe, aux informations des cartes bancaires ou au contenu des communications. La société, qui est une filiale du groupe Iliad, a ensuite déposé une plainte pénale et a notifié l'incident à la CNIL et à l'ANSSI. drussellx dit avoir vendu une partie de ces données aux enchères pour 175 000 dollars.
Les mesures prises par Free après le piratage ont déclenché une grève
À la suite du piratage, Free avait promis des mesures adéquates pour renforcer la sécurité de ses opérations et de ses services. L'opérateur a finalement décidé de rétropédaler sur le télétravail, tout comme Amazon, Google, Zoom, Disney, Ubisoft, etc. Le fondateur du groupe, Xavier Niel, n'a jamais caché son opposition au travail à distance même si sa marque propose des services de télécommunication pour permettre aux gens de travailler depuis chez eux.
Par conséquent, depuis la fin du mois de novembre, les employés de Free chargés d'assister les abonnés ne sont plus autorisés à télétravailler. Ils doivent maintenant impérativement se rendre dans les locaux de l’opérateur. La mesure a été très mal accueillie par les travailleurs. Et la CGT a appelé les salariés des centres d’appels de Marseille, Paris et Bordeaux à un débrayage de 10h à 12h ce lundi 9 décembre 2024 pour protester contre la fin du télétravail.
Free affirme que la mesure vise à résoudre certains problèmes de cybersécurité. Mais la CGT réfute cette idée et affirme qu'il s'agit d'une façon déguisée de pousser des salariés à démissionner. Cette accusation revient de plus en plus avec la multiplication des ordres de retour au bureau dans l'industrie technologique. De nombreux travailleurs ont quitté leurs jobs au cours des dernières années après la suppression du télétravail par leurs employeurs.
« La direction nous a enlevé le télétravail pour des raisons de cybersécurité apparemment, alors que c'était quand même un acquis social qui a apporté beaucoup de confort aux collaborateurs dans leur vie privée comme professionnels », dénonce Mohamed Ennourine, délégué syndical, CFTC qui souligne une diminution des effectifs de moitié en quatre ans. Pour les 360 employés de Certicoll, filiale de Free à Marseille, « il s'agit de la goutte d'eau de trop ».
« Ils nous suppriment tous les avantages petit à petit », estime Nadia Boudjadit, déléguée syndicale de Certicoll, évoquant la baisse des primes et une réorganisation des services. Elle dénonce « les pressions exercées sur les salariés avec des objectifs inatteignables ». Elle est en charge des problèmes de raccordement à la souscription :
Envoyé par Nadia Boudjadit
C'est mon métier principal et maintenant on me demande de vendre des abonnements, donc je contacte l'abonné pour trouver l'erreur et en plus, je dois lui vendre un abonnement mobile, sachant que la plupart des abonnés de Freebox ont déjà des abonnements mobiles. C'est une forme de pression, de chantage, c'est comme ça que le perçoivent les salariés, pour quitter le navire de leur propre chef ou aller chercher quelque chose ailleurs.
Une mesure qui reflète une incapacité à corriger les problèmes de fond ?
Les syndicats ont vivement critiqué Free et affirment que la décision de l'opérateur nuit au bien-être des salariés. Ils soulignent notamment son incapacité de Free à mettre en place des outils adéquats pour renforcer la cybersécurité, notamment des VPN sécurisés. Dans un communiqué partagé sur X, la CGT a écrit : « l’incapacité du groupe à mettre en place des VPN sécurisés finit par pénaliser les salariés, dans un contexte de baisse drastique d’effectifs ».
La déléguée syndicale Nadia Boudjadit a également pointé du doigt d'autres mesures défavorables prises par l'opérateur : baisse des primes, réorganisations fréquentes, etc. Elle affirme que la suppression du télétravail constitue une atteinte à un équilibre crucial entre vie professionnelle et personnelle.
Une centaine de salariés a débrayé devant les locaux d'Equaline à Bordeaux, ce qui représente à près d'un tiers des effectifs. « On nous a annoncé il y a dix jours l'arrêt de toute forme de travail à distance. Tous les accès à distance sont coupés à compter de ce matin », dénonce Christophe Risal, délégué syndical de la CGT.
La CNIL a reçu plus de 2 000 plaintes à la suite du piratage de Free
L'attaque informatique massive ayant visé Free aurait entraîné une vague de plaintes inédites auprès de la Commission nationale de l'informatique et des libertés (CNIL). Dans une déclaration à Ouest-France, Mathias Moulin, le secrétaire général adjoint de la CNIL, a indiqué que la CNIL a enregistré à ce stade plus de 2 000 plaintes liées au piratage de Free. Il s'agirait d'un nombre record de plaintes enregistrées dans le cadre d'un piratage informatique.
Il a noté que le nombre record de plaintes témoigne d’une prise de conscience accrue des risques relatifs à la violation des données personnelles. D’autant qu’il ne s’agissait pas d’informations mineures : les noms, les adresses email et les IBAN sont concernés, ce qui peut entraîner des risques importants pour les clients.
La CNIL a ouvert une enquête qui pourrait durer entre 8 et 10 mois. L’un des points examinés est le respect de l’obligation de moyens en matière de sécurité des données de Free, et l’opérateur pourrait écoper d’une sanction pouvant atteindre 4 % de son chiffre d’affaires si la CNIL juge qu’il n'est pas en règle.
Et vous ?
Quel est votre avis sur le sujet ? Que pensez-vous de la suppression du télétravail par Free pour des raisons de cybersécurité ? Les syndicats affirment que cette mesure vise à pousser les salariés à démissionner. Qu'en pensez-vous ? Cette mesure reflète-t-elle une incapacité de Free à résoudre les problèmes de fond ayant conduit au piratage d'octobre ?Voir aussi
Piratage de Free : des cybercriminels prétendaient avoir vendu les données de 19 millions d'utilisateurs dont l'IBAN de 5 millions d'entre eux. Et si les données n'avaient pas été vendues ? Free : les données personnelles de 14 millions de clients en vente sur le dark Web, faux affirme Free Twilio, la société de communication sur le cloud, confirme avoir été victime d'une violation de données après la fuite de 33 millions de numéros de téléphone d'utilisateurs Authy, son outil MFA 
