Cyberattaque : Free écope d’une amende de 42 millions d’euros par la Cnil et saisit le Conseil d’État

L’opérateur avait notamment conservé les données de ses anciens clients.
Free

L’opérateur avait notamment conservé les données de ses anciens clients.
Free
L’opérateur Free paye encore les conséquences de la cyberattaque d’ampleur survenue il y a plus d’un an. La Cnil (Commission nationale de l’informatique et des libertés) a infligé une amende de 27 millions d’euros à Free Mobile, tandis que la société Free récolte 15 millions d’euros de sanction. Soit 42 millions d’euros au total. En cause, des mesures de sécurité jugées insuffisantes qui ont permis à un attaquant de s’infiltrer dans leurs systèmes et d’accéder aux données de millions de clients, incluant des IBAN pour ceux ayant souscrit aux deux services.
La Cnil a pointé du doigt plusieurs carences critiques. L’authentification des VPN utilisés par les employés en télétravail n’était pas assez robuste, et les systèmes de détection des comportements anormaux se sont révélés inefficaces. Des mesures élémentaires qui auraient pu compliquer la tâche des pirates, selon l’autorité.
« Même s’il est impossible d’éliminer tout risque, les entreprises peuvent en réduire la probabilité », rappelle la Cnil, qui juge ces protections inadaptées au regard du nombre et de la sensibilité des données traitées.
Au-delà de la sécurité, Free est également sanctionné pour avoir mal informé ses clients. L’e-mail envoyé aux personnes concernées ne contenait pas toutes les informations obligatoires, empêchant les utilisateurs de comprendre pleinement les risques et les mesures de protection à adopter.
Free Mobile se voit surtout reprocher la conservation excessive de données d’anciens abonnés, sans justification, pendant des années. Ainsi les personnes ayant changé d’opérateur avant la cyberattaque ont également été impactées. Avec 24 millions de victimes collatérales, potentiellement ciblées par des campagnes de phishing dans la foulée, les dommages sont considérables selon la Cnil. L’opérateur a trois à six mois pour se mettre en conformité sur ces points, sous peine de nouvelles sanctions.
Chaque jour à 13h, l’essentiel de l’actualité tech.

De son côté, Free indique à La Tribune qu’il « conteste vivement » une sanction que l’entreprise estime être d’une « sévérité inédite », et annonce déposer un recours devant le Conseil d’État afin d’obtenir la révision de cette décision. « Dans plusieurs cas comparables, malgré des impacts similaires, voire plus graves, sur les données personnelles, les sanctions prononcées semblent dérisoires au regard de celle-ci », fait valoir l'entreprise.
L’opérateur précise également qu’il a renforcé son « architecture de sécurité, les contrôles d’accès, et mis en place une surveillance renforcée en temps réel » depuis 2024.