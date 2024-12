Après SFR, le bien connu opérateur téléphonique et fournisseur d'accès à internet Free a été victime en cette fin octobre d'une violation de données personnelles et plus précisément d'une cyberattaque.

L'objet de l'attaque contre Free

Free a annoncé le 26 octobre que les données de 19 millions de ses clients ont été dérobées, dont plus de 5 millions d'IBAN à ce qu'il semblerait.

Cette violation concerne notamment les données suivantes :

Nom ;

Prénom ;

Adresses email ;

Adresse postale ;

Date et lieu de naissance ;

Numéro(s) de téléphone

Identifiant abonné ;

Données contractuelles (type d'offre souscrite, date de souscription, abonnement actif ou non) et ;

Pour certaines personnes (environ 5 millions), références du compte bancaire ou IBAN (International Bank Account Number).

Dans leur communication, il est précisé que les mots de passe ne seraient pas concernés (ouf !).

La sensibilité du RIB

Ce qui fait la singularité de cette violation, c'est essentiellement le périmètre de cette dernière. Le fait qu'elle ait touché non seulement les données d'identité habituelles, mais aussi une donnée qui pourrait être considérée, non comme une donnée sensible au sens du RGPD1, mais comme une donnée dite hautement personnelle2.

Dès lors, cette violation a été l'occasion pour la « communauté » de mettre en avant la sensibilité du RIB qui, bien qu'il soit couramment utilisé dans les échanges professionnels ou personnels, demeure un document « sensible » dont la diffusion non contrôlée peut engendrer divers risques.

Le RIB contient, en effet, des informations précises sur un compte bancaire : le numéro IBAN (International Bank Account Number), le BIC (Bank Identifier Code), ainsi que l'identité et les coordonnées de l'établissement bancaire. Ces données permettent d'initier des opérations financières, comme des virements. Bien qu'en théorie, ces opérations nécessitent le consentement du titulaire du compte, certains malfaiteurs peuvent exploiter ces informations pour réaliser des actions frauduleuses, notamment dans des contextes où les contrôles de sécurité sont insuffisants ou défaillants.

Les risques liés à la fuite du RIB

RISQUES DESCRIPTION

Usurpation d'identité bancaire Si une personne malveillante obtient un RIB, elle peut tenter de se faire passer pour le titulaire du compte auprès d'organismes ou d'entreprises pour effectuer des prélèvements frauduleux; Tentative de prélèvement non autorisé Bien que les banques exigent souvent une autorisation préalable pour tout prélèvement, certaines fraudes exploitent des failles administratives ou le manque de vigilance des entreprises pour débiter un compte sans le consentement du titulaire. Escroqueries ciblées Les informations du RIB peuvent être utilisées dans des schémas de phishing ou d'arnaques. Par exemple, un fraudeur pourrait créer une facture fictive en utilisant un RIB pour induire une victime en erreur. Exploitation dans des activités illégales Dans certains cas, le RIB d'un particulier ou d'une entreprise pourrait être utilisé pour blanchir de l'argent ou pour d'autres transactions illicites.

La cyberattaque subie par Free illustre une fois de plus les défis croissants liés à la sécurité des données personnelles dans un contexte propice aux cyberattaques. Au-delà du volume impressionnant des informations compromises, c'est la nature des données dérobées, incluant des références bancaires comme les IBAN, qui interpelle particulièrement. Bien que les mots de passe n'aient pas été concernés, la fuite de RIB expose les victimes à des risques financiers et administratifs significatifs.

Cet incident souligne l'importance de protéger les données hautement personnelles et de sensibiliser le public aux précautions à prendre pour limiter les risques. Il est alors impératif pour les entreprises d'investir davantage dans des systèmes de sécurité robustes et pour les particuliers de redoubler de vigilance quant à la sécurisation de leurs informations « sensibles ».

Footnotes

1 Article 9 du RGPD

2 Lignes directrices concernant l'analyse d'impact relative à la protection des données (AIPD) et la manière de déterminer si le traitement est «susceptible d'engendrer un risque élevé» aux fins du règlement (UE) 2016/679, 4 octobre 2017,

The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.