par Cyril Brosset
ACTUALITÉ
Piratage de FreeFree lourdement condamné pour des défaillances dans la sécurisation des données
L’enquête menée suite à la fuite de données chez Free en 2024 a confirmé, comme nous l’avions dénoncé, des manquements dans la sécurisation des systèmes d’information, ainsi que des problèmes dans la communication auprès des victimes. La Commission nationale de l’informatique et des libertés (Cnil) a donc infligé d’importantes amendes à l’opérateur.
En résumé
- Une lourde sanction financière Au vu de l'ampleur du piratage d'octobre 2024 (24,6 millions de contrats touchés) et des manquements de l’opérateur, la Cnil a infligé une amende totale de 42 millions d'euros à Free et Free mobile.
- Des failles de sécurité majeures L'enquête a révélé des mesures de protection jugées « insuffisamment robustes », notamment concernant l'accès VPN des employés et des systèmes de détection d'intrusions inefficaces.
- Une gestion des données défaillante L'opérateur est sanctionné pour avoir conservé les données personnelles et les IBAN d'anciens abonnés sans limite de temps, ainsi que pour une communication incomplète auprès des victimes lors de l'incident.
27 millions d’euros d’amende pour Free mobile, 15 millions pour Free, soit un total de 42 millions d’euros d’amende. La sanction prononcée mardi par la Commission nationale de l’informatique et des libertés (Cnil) suite au vol de données personnelles en octobre 2024 est à la hauteur du nombre important de victimes et de la sensibilité des données corrompues. 24,6 millions de contrats auraient en effet été touchés, ce qui est énorme. Outre les noms, les prénoms, les adresses postales et électroniques, les numéros de téléphone et les forfaits, les IBAN des personnes clientes à la fois de Free et de Free mobile ont aussi été impactés.
Mais ce n’est pas tout. L’insuffisance des mesures prises par l’opérateur pour protéger les données de ses clients a aussi joué un rôle au moment de déterminer le montant de la sanction. Et pour cause, l’enquête lancée par la Cnil à la suite des saisines de victimes (elle en a reçu plus de 2 500 à ce jour) et de celle de l’UFC-Que Choisir a mis en lumière de sérieuses défaillances.
La Cnil pointe notamment la procédure de connexion au VPN, le réseau virtuel par lequel passent les employés travaillant à distance, qu’elle juge « insuffisamment robuste ». C’est par ce biais que le pirate a pu s’introduire dans le système d’information de la société. Du côté des mesures de détection des éventuels comportements anormaux, c’est encore pire puisque la commission les qualifie carrément d’« inefficaces ». La Cnil note également que le courriel adressé aux clients concernés par la violation de données ne comportait pas toutes les informations imposées par le Règlement général sur la protection des données (RGPD). Il se peut donc que des victimes n’aient pas compris les conséquences de cette violation ni été informées des mesures qu’elles pouvaient prendre pour se protéger.
Des données conservées sans limite
La politique de Free mobile en matière de conservation des données a aussi été mise en cause. Le gendarme de l’informatique et des libertés a en effet constaté que les informations des anciens abonnés étaient conservées avec celles des clients actuels, alors qu’il aurait fallu les séparer et supprimer celles dont la conservation n’était plus nécessaire. Au lieu de cela, Free mobile conservait les données de ses anciens abonnés sans limite de temps, et sans aucune justification.
Depuis, l’opérateur assure avoir supprimé une partie des données conservées plus de 10 ans et renforcé ses mesures de sécurité. Espérons que ces changements sont à la hauteur de la situation et que Free prendra enfin conscience de l’importance de protéger les données de ses clients. En décembre 2021, sa filiale mobile avait déjà été épinglée par la Cnil pour des manquements similaires. À l’époque, l’amende de 300 000 € n’avait de toute évidence pas été dissuasive.
Cyril Brosset
