Le 27 octobre 2024, Free, l’un des principaux opérateurs télécoms en France, a été frappé par une cyberattaque de grosse ampleur. Un pirate informatique a revendiqué le vol massif de données personnelles de millions d’abonnés et a diffusé un échantillon de coordonnées bancaires en guise de preuve. Cet acte, qualifié « d’avertissement », met en lumière les failles de sécurité des entreprises face à des cybermenaces toujours plus sophistiquées.
Dans un contexte où les données personnelles sont devenues un enjeu stratégique autant qu’une cible privilégiée des cybercriminels, cette affaire soulève des interrogations cruciales : les entreprises sont-elles prêtes à faire face à de telles attaques ? Et comment protéger les utilisateurs d’éventuelles conséquences dramatiques ?
🟠 1 – Une rançon fixée à 70 000 $ pour des données sensibles
Le cybercriminel à l’origine de cette attaque a mis en vente sur le dark web des données volées appartenant aux abonnés de Free, exigeant une rançon de 70 000 dollars. Ces données incluent des informations personnelles sensibles telles que les noms, prénoms, adresses, et numéros de téléphone. Toutefois, Free a rapidement assuré que les données bancaires des clients, notamment les IBAN, n’étaient pas compromises.
Malgré ces déclarations, le pirate a diffusé, dans la nuit du 27 octobre 2024, un échantillon contenant 100 000 IBAN, affirmant qu’il détenait un total de 5,11 millions de coordonnées bancaires. Ce geste qualifié « d’avertissement » par le hacker, visait à démontrer la véracité de ses propos et à alerter les abonnés sur la potentielle circulation de leurs coordonnées bancaires.
🟠 2 – Impact sur les abonnés : une alerte à prendre au sérieux
La diffusion de cet échantillon de données soulève des inquiétudes majeures pour les abonnés de Free. Si les coordonnées bancaires venaient à être effectivement exploitées, les conséquences pourraient être graves, allant du vol d’identité aux fraudes financières.
Free, dans sa communication, a invité ses clients à une vigilance accrue. L’opérateur recommande notamment de surveiller de près leurs relevés bancaires et de signaler toute activité suspecte auprès de leur établissement financier.
🟠 3 – Cybersécurité : un enjeu critique pour les entreprises
Cette attaque met en lumière la nécessité pour les entreprises de renforcer leur système de protection des données. La cybercriminalité, en constante évolution, cible de plus en plus les organisations disposant de vastes bases de données personnelles. Dans le cas de Free, la divulgation de ces informations compromet non seulement la sécurité de ses abonnés, mais également la confiance des consommateurs envers l’entreprise.
Le Règlement Général sur la Protection des Données (RGPD) impose aux entreprises des obligations strictes en matière de protection des données personnelles. En cas de manquement, celles-ci s’exposent à des sanctions pouvant aller jusqu’à 20 millions d’euros ou 4% de leur chiffre d’affaires annuel mondial. Il reste à voir si l’attaque subie par Free entraînera une enquête de la CNIL et d’éventuelles mesures correctives.
🟠 4 – Plutôt prévenir que guérir : le rôle des entreprises face aux cyberattaques.
Les entreprises doivent adopter une approche proactive pour contrer les cybermenaces. Cela inclut la mise en place de systèmes de sécurité robustes, la formation des employés aux bonnes pratiques en matière de cybersécurité, et la réalisation régulière d’audits pour identifier les failles potentielles.
En parallèle, il est essentiel d’avoir un plan de réponse aux incidents permettant de limiter l’impact des cyberattaques et de rassurer rapidement les clients. Une communication transparente, comme celle adoptée par Free, joue un rôle clé dans la gestion des crises.
🟠 Conclusion
L’attaque subie par Free rappelle l’importance cruciale de la cybersécurité à une époque où les données personnelles représentent une véritable monnaie d’échange pour les cybercriminels. Les abonnés, quant à eux, doivent rester vigilants et prendre des mesures pour protéger leurs informations sensibles.
Pour les entreprises, cette affaire est un signal d’alarme : investir dans la protection des données et se conformer aux normes légales en vigueur ne sont plus seulement des obligations, mais une condition sine qua non pour préserver leur réputation et la confiance de leurs clients.
Pour en savoir plus / sources :
Le European Accessibility Act (EAA) – ou directive européenne sur l'accessibilité – entre en application le 28 juin 2025. Ce texte vise à renforcer l’égalité d’accès aux biens et services pour les personnes en situation de handicap, en imposant des obligations nouvelles aux entreprises privées. Il s’agit d’un changement profond dans la manière de concevoir et de fournir les produits et services numériques sur le marché européen.
Dans un arrêt du 19 novembre 2024, la Cour d’appel de Rennes a rappelé avec force qu’un prestataire informatique est tenu à une obligation d’information et de conseil renforcée, en particulier lorsqu’il intervient sur un système complexe pour un client non-professionnel du secteur dans lequel le prestataire se dit spécialiste.
Dans un arrêt du 22 mai 2025, la deuxième chambre civile de la Cour de cassation s’est exprimée sur une question qu’elle n’avait encore jamais tranché, et qui divisait les Cours d’appel, celle de savoir si le délai de huit jours visé à l’article 857 du Code de procédure civile s’appliquait aux procédures introduites devant le Président du Tribunal de commerce en matière de rétractation d’ordonnance sur requête. Dans cette affaire, afin de tenter de justifier l’existence d’actes de concurrence déloyale, une requête sur le fondement de l’article 145 du Code de procédure civile avait été déposée devant le président du Tribunal de commerce, ce dernier ayant ensuite été saisi d’une demande de rétractation de l’ordonnance prononcée.
Le 23 avril 2025, la Commission européenne a en prononcé les premières sanctions au titre du Digital Markets Act (DMA). Deux géants américains du numérique, Apple et Meta, se voient infliger des amendes respectives de 500 millions d’euros et 200 millions d’euros pour manquements aux nouvelles obligations européennes de régulation des marchés numériques. Un signal fort adressé aux gatekeepers : l’ère du DMA est désormais entrée dans sa phase d’application concrète.