En octobre 2024, Free a subi une cyberattaque d’une ampleur sans précédent dans le paysage télécom français. Cela a également été le cas de SFR un eu avant mais aussi un peu après. Les données de 19 millions d’abonnés — dont 5 millions de coordonnées bancaires — se sont retrouvées en vente sur le darknet, à portée d’escrocs organisés et de petits cybercriminels opportunistes.
Ces informations ne sont pas restées dans l’ombre : elles circulent toujours aujourd’hui, près d’un an après l’incident, et alimentent une recrudescence d’arnaques ciblées. Les fraudeurs ne se contentent plus d’envoyer des mails ou SMS génériques ; ils exploitent désormais les véritables données des abonnés pour rendre leurs attaques plus crédibles que jamais.
Des scénarios d’arnaque de plus en plus sophistiqués.
Les campagnes observées récemment s’appuient sur un scénario bien rodé. Un SMS ou un appel alerte la victime d’un prélèvement anormalement élevé ou d’une transaction suspecte. Un numéro est fourni pour « faire opposition » immédiatement. Ce numéro est bien sûr celui des escrocs, qui, une fois la victime en ligne, l’incitent à fournir ses identifiants bancaires ou les codes de validation envoyés par sa banque.
Dans d’autres cas, l’attaque se déroule en deux temps :
- La phase de hameçonnage initial : un faux message de livreur ou de boutique en ligne invite à cliquer sur un lien frauduleux.
- La phase d’exploitation : la victime, convaincue de l’authenticité de la demande, saisit ses coordonnées bancaires ou ses codes 3D Secure, donnant ainsi aux arnaqueurs les clés d’accès à son compte.
Ce qui rend ces attaques particulièrement dangereuses, c’est l’usage d’informations réelles issues de la fuite : nom de la banque, adresse, voire historique de paiement. Cela renforce artificiellement la crédibilité du message et réduit la vigilance des victimes potentielles.
Pourquoi cette fuite change les règles du jeu.
Ce piratage est avant tout symptomatique de trois évolutions majeures dans les menaces cyber :
Un risque qui dure : pourquoi les données bancaires volées restent précieuses pendant des années.
Lorsqu’un pirate ou un escroc met la main sur des données bancaires, comme un RIB (Relevé d’Identité Bancaire), la menace ne s’éteint pas après quelques semaines. Contrairement à un mot de passe, que l’on peut changer rapidement, un RIB est lié à un compte bancaire spécifique et ne se modifie pas facilement. En pratique, cela signifie que les fraudeurs peuvent exploiter cette information pendant des années, voire aussi longtemps que le compte reste ouvert.
Avec un RIB, il est possible de mettre en place des prélèvements frauduleux ou de l’utiliser comme élément de crédibilité dans d’autres tentatives d’arnaque. Même si les prélèvements non autorisés peuvent être contestés et remboursés par la banque, le temps et l’énergie nécessaires pour s’en rendre compte et les faire annuler peuvent décourager les victimes. Les escrocs le savent, et misent souvent sur cet effet psychologique pour continuer leurs attaques dans la durée.
Des attaques qui montent en précision : l’essor du “spear phishing”.
Le phishing classique repose sur des messages frauduleux envoyés massivement, dans l’espoir qu’une petite partie des destinataires se fasse piéger. Mais avec des données personnelles issues d’une fuite, les cybercriminels peuvent pratiquer un phishing ciblé, appelé spear phishing.
Ici, les messages sont personnalisés : l’escroc connaît déjà le nom de la victime, parfois son adresse, le nom de sa banque, voire certains détails de son historique client. Cela rend le discours plus crédible, donc plus dangereux. Par exemple, au lieu d’un vague « Cher client, votre compte a été piraté », la victime reçoit : « Madame Dupont, nous avons détecté un virement suspect sur votre compte BNP Paribas le 28 juillet 2025. Veuillez nous rappeler au numéro suivant pour le bloquer ».
Ce niveau de précision augmente considérablement le taux de réussite des arnaques, car il fait sauter le premier réflexe de méfiance que l’on a face à un message générique.
Pour autant, ce risque ne doit pas plonger les abonnés dans la paranoïa. La plupart des tentatives d’escroquerie échouent… à condition d’adopter les bons réflexes.
Adopter les bons réflexes sans cependant tomber dans l’excès.
Face à ces menaces, il existe des mesures simples qui permettent de réduire drastiquement les risques :
- Vérifier l’émetteur avant toute action : un SMS venant d’un numéro en 06 ou 07 est suspect pour un message se présentant comme celui d’une banque, d’un opérateur ou d’un service de livraison.
- Analyser l’URL avant de cliquer : fautes d’orthographe, nom de domaine étrange ou raccourci suspect doivent déclencher un doute immédiat.
- Toujours passer par les canaux officiels : pour vérifier un prélèvement, connectez-vous à votre espace client bancaire ou appelez votre banque au numéro figurant sur votre carte. Pour un colis, utilisez directement le site du transporteur.
- Ne jamais divulguer ses identifiants ou codes par téléphone : aucune banque ni aucun opérateur ne les demandera de cette manière.
Ce que Free, les opérateurs d’une manière générale et les autorités peuvent encore faire.
L’incident Free, comme celui de SFR par ailleurs, pose aussi la question de la protection post-piratage. Plusieurs pistes mériteraient d’être explorées :
Maintenir la vigilance des abonnés exposés
Une fois la première vague d’alerte passée, le risque est souvent de voir la vigilance des abonnés diminuer, alors même que les menaces persistent pendant des mois, voire des années. Les opérateurs télécoms se doivent donc mettre en place une information régulière et ciblée auprès des clients concernés par une fuite de données.
Cette communication pourrait prendre plusieurs formes : envoi périodique d’e-mails explicatifs, notifications dans l’espace abonné ou via une application mobile, rappels des bons réflexes en matière de sécurité numérique. L’objectif n’est pas de nourrir une inquiétude permanente, mais d’entretenir un réflexe de prudence, afin que les abonnés détectent plus facilement les tentatives d’arnaque, même bien après l’incident initial.
Offrir un service de surveillance d’identité.
Pour accompagner concrètement les abonnés dans la gestion de ce risque, les opérateurs pourraient proposer un service de surveillance d’identité numérique, offert pendant au moins un an aux clients touchés.
Ces outils, souvent utilisés par les grandes entreprises après une fuite, analysent en continu les espaces où circulent les données volées : dark web, forums de hackers, bases pirates revendues ou partagées. Lorsqu’une information sensible (nom, RIB, adresse e-mail, numéro de téléphone, etc.) est repérée, l’abonné reçoit une alerte immédiate lui permettant de prendre des mesures de protection (changement de mot de passe, contact avec la banque, blocage d’un compte).
Cette surveillance en amont a pour avantage de détecter plus vite les usages frauduleux et de limiter l’ampleur des dégâts.
Renforcer la coopération entre télécoms, banques et autorités.
Aucune entité ne peut lutter seule contre les campagnes d’arnaques massives qui suivent les grandes fuites de données. Il est donc extrêmement important de renforcer la collaboration entre opérateurs télécoms, établissements bancaires et autorités publiques.
Cette coopération devrait par conséquent s’appuyer sur :
- Des systèmes d’alerte rapide entre acteurs, permettant de signaler en temps réel une campagne de phishing ou d’escroquerie détectée.
- Un blocage coordonné des numéros de téléphone et adresses e-mail utilisés par les fraudeurs.
- Des échanges de données anonymisées pour identifier les schémas récurrents et anticiper les nouvelles attaques.
Travail commun= réaction plus rapidement et coupure des chaînes d’attaque avant qu’elles ne se propagent massivement. Il renforcerait aussi la confiance des abonnés, qui sauraient que leur opérateur agit en lien direct avec les autres acteurs clés de la sécurité numérique.
Rester vigilant mais confiant.
Si l’ampleur de la fuite Free est impressionnante, il faut garder en tête que les arnaques ne réussissent que si la victime interagit avec le message frauduleux. Autrement dit : un œil attentif reste votre meilleure protection.
L’expérience montre que la plupart des tentatives sont repérables par des signes distinctifs : incohérences dans le message, fautes, numéro d’expéditeur inhabituel, lien suspect. En conservant de bons réflexes et en prenant quelques secondes pour vérifier avant d’agir, on peut éviter la quasi-totalité des pièges.
La cybersécurité ne repose pas uniquement sur les opérateurs ou les régulateurs : chacun joue un rôle clé. Et dans cette affaire comme dans d’autres, rester informé et appliqué vaut mieux que céder à la peur.
