OPINION. «Piratage de Free : que reproche (vraiment) la CNIL à l'opérateur mobile ? »
latribune.fr
L'opérateur avait notamment conservé les données de ses anciens clients.
Free
latribune.fr
L'opérateur avait notamment conservé les données de ses anciens clients.
Free
Par Charles Cuvelliez, Université de Bruxelles, Ecole Polytechnique de Bruxelles et Lynn Vleugels, Data Protection Officer, Aéroport de Bruxelles (Brussels Airport Company)
Petit rappel : Le 21 octobre 2024, Free Mobile a été alertée par un pirate qui s’est infiltré dans son système. En passant par le VPN de l’entreprise, puis par son outil interne de gestion des abonnés, il a accédé aux données personnelles de près de 24,6 millions de contrats. L’enquête de la CNIL qui a suivi ne portait pas sur l’attaque elle-même, mais sur le respect par Free Mobile de ses obligations de sécurité prévues par le RGPD, peu importe si celles-ci ont été l’objet de l’attaque.
Lors du contrôle, Free Mobile ne disposait pas d’un système efficace pour supprimer ou trier les données des anciens abonnés. Faute de purge automatique, des millions de données personnelles — parfois conservées depuis plus de dix ans — restaient stockées sans justification claire.
L’entreprise l’a expliqué par des contraintes techniques et un projet de suppression progressive lancé en 2023, censé s’achever fin 2025, d’abord sur les factures, puis sur les données des anciens abonnés.15 millions de contrats résiliés, dont 3 millions depuis plus d’une décennie, trainaient donc hélas dans les systèmes de Free. Seuls 254 809 contrats encore présents auraient pu se justifier car encore liés à d’autres comptes actifs.
Si la loi permet de conserver certaines données de facturation jusqu’à dix ans à des fins comptables, la société a également gardé des données bancaires, notamment les IBAN, sans en prouver la nécessité. Il y a aussi eu une erreur dans sa déclaration concernant la durée de conservation pour la lutte contre la fraude : cinq ans après la fin du contrat mais c’était donc dix ans en réalité.
L’attaque a débuté par un accès via le VPN de Free Mobile, un outil permettant aux employés de se connecter à distance à l’entreprise, donc un peu hors de contrôle. Trois niveaux d’authentification sont alors préconisés : celle de l’utilisateur sur son poste, celle du poste sur le système d’information, puis celle de l’utilisateur sur ce même système. Ce n’était pas le cas, notamment l’absence d’authentification des postes nomades et de vérification multifacteur pour les utilisateurs.
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.
Free Mobile disposait bien d’un système de journalisation pour enregistrer l’activité de son réseau et repérer d’éventuelles anomalies. Cette méthode n’est efficace que si les données collectées sont analysées en temps réel pour détecter un comportement suspect. Ce n’était pas le cas, ce qui a laissé au pirate un mois pour se servir (jusqu’au moment où il a averti lui-même Free). L’entreprise utilisait un outil de “scoring” évaluant chaque connexion - avant de donner son accord à une connexion - selon plusieurs critères, comme l’adresse IP ou l’usage d’un VPN tiers. Il a donc été leurré. Après l’enquête de la CNIL, Free a renforcé la surveillance de son réseau interne pour mieux détecter les comportements suspects en reliant ses journalisations à un centre de contrôle.
Concernant son outil client MOBO, Free Mobile estimait avoir pris les précautions nécessaires : la journalisation ne couvrait que la fonction de consultation des données personnelles, la société jugeant inutile d’y inclure la fonction recherche, supposée ne pas exposer d’informations sensibles (il fallait cliquer sur une résultat pour faire apparaître ces informations)…sauf qu’une faille dans MOBO (c’est son nom) des clients permettait d’afficher certaines données personnelles sans passer par la fonction “consultation”, simplement en utilisant les outils de développement du navigateur (la requête de consultation envoyait déjà toutes les informations sensibles vers le navigateur au cas où une consultation était ensuite demandée)
Malgré un volume anormal de connexions au système d’information, aucune alerte n’a été déclenchée, écrit la CNIL. Faute de détection, l’attaquant a pu naviguer dans le réseau interne pendant près d’un mois sans être repéré et sur MOBO, il a pu collecter même en mode recherche les données sensibles des clients.
Le message envoyé par Free Mobile à ses abonnés après la fuite manquait de clarté. Il ne précisait ni les mesures correctives mises en œuvre, ni les risques encourus, ni les précautions à adopter, se limitant à recommander de la vigilance face aux tentatives de fraude.
Pour la CNIL, il fallait aller plus loin dès le premier courriel, afin d’aider les personnes concernées à comprendre la situation et à se protéger et à se rassurer. Free Mobile s’était simplement contentée d’assurer avoir pris « toutes les mesures nécessaires », sans expliquer quelles actions avaient réellement été menées (pas de quoi être rassuré donc). Free, pour sa défense, expliquait ne pouvoir dans son message couvrir tous les cas de figure d’exploitation des données volées.
Mais qu’on se le dise : un message de vigilance ne suffit pas.
L’amende salée infligée à Free Mobile se fonde sur les critères fixés par l’article 83 du RGPD : la gravité de la violation, sa durée, son ampleur, le volume de personnes concernées et les mesures prises pour y remédier.
Plus de 24 millions de contrats ont été exposés et 15 millions de données conservées indûment. Les failles de sécurité, notamment autour du VPN et de la détection des activités suspectes, ont facilité l’attaque. Dans un contexte de hausse des cyberattaques, ces manquements ont été jugés particulièrement préoccupants. Seules 58 239 personnes ont contacté le numéro mis à disposition après la fuite, illustrant l’échec de la communication auprès des abonnés.
L’amende se veut proportionnée mais dissuasive, la CNIL tenant compte des moyens techniques et financiers solides de la société, ainsi que de l’ampleur exceptionnelle de la violation et du nombre de personnes touchées. Elle aurait pu mieux faire, d’où le caractère (un peu) excessif du montant. Les commentaires abondent cependant sur des fuites de données d’autres entreprises, touchant des millions de personnes, avec des amendes à clé bien inférieures. Free, qui a déjà mis en place un renforcement séreux de sa sécurité, a-t-il besoin d’être dissuadé ou la CNIL veut-elle se refaire une image de fermeté ?
______
Pour en savoir plus : Délibération SAN-2026-001 du 8 janvier 2026, Commission Nationale de l’Informatique et des Libertés, Légifrance
latribune.fr
OPINION. La France en quête d’énergie : « Quand l'Assemblée nationale refuse l'exploitation des ressources françaises dans les territoires d'outre-mer »
OPINION. « Remise en cause du marché de l’électricité : l’impossible débat »
OPINION. « Gestion de l'eau : ne fracturons pas le modèle français »
OPINION. « Et si les managers devenaient enfin les auteurs de leur propre transformation ? »
