Vol de données de 19 millions de clients Free : un mineur mis en examen

Un mineur de 16 ans a été mis en examen à Paris ce lundi, dans le cadre de la fuite de données de l'opérateur Free. En outre, le garçon est suspecté d'avoir réclamé 10 millions d'euros de rançon à Xavier Niel en échanges des données volées.
Un mineur de 16 ans est-il derrière le vol des données de près de 20 millions d'abonnés de l'opérateur Free ? Mercredi, ce garçon suspecté d'avoir réclamé 10 millions d'euros de rançon à Xavier Niel a été mis en examen à Paris. Une source proche du dossier a indiqué que cet adolescent interpellé lundi dans l'Essonne a été mis en examen par un juge d'instruction parisien puis placé en centre éducatif par un juge des libertés et de la détention.
Dans le détail, la source a précisé que ce lycéen né en janvier 2008 a été mis en examen pour diverses infractions relatives à un système de traitement automatisé de données (accès et maintien frauduleux ; introduction frauduleuse de données ; détention frauduleuse de données ; extraction frauduleuse de données), mais aussi pour collecte de données à caractère personnel par un moyen frauduleux ou encore recel d'atteinte à un système de traitement automatisé de données.
19,2 millions d'abonnés concernés
Le mineur est aussi mis en cause pour une tentative d'extorsion au préjudice de Xavier Niel, fondateur de Free : il est suspecté de lui avoir demandé 10 millions d'euros en cryptomonnaies dans un message considéré comme une demande de rançon, en échange de la restitution du fichier, ce que le milliardaire a refusé.
Mi-novembre, la justice avait ordonné à la messagerie Telegram de révéler l'identité du hacker qui avait utilisé la plateforme pour faire pression sur le président du groupe Iliad.
Le 21 octobre, la base de données de Free, portant sur 19,2 millions de clients français, soit la majorité des 22,8 millions d'abonnés de l'entreprise, "dont 5,11 millions incluant un numéro IBAN, a été mise en vente aux enchères par un hacker sur un forum cybercriminel", a rappelé le ministère public, qui avait confié l'enquête à la Brigade de lutte contre la cybercriminalité (BL2C) de la préfecture de police. Le fichier contenait des données personnelles, telles que leur adresse, numéro de téléphone ou courriel.
"Faille de sécurité"
D'après la source proche du dossier, le mis en cause est suspecté d'être entré dans les serveurs de Free via des failles de sécurité d'un salarié de l'entreprise. Le fichier de données a été revendu pour 20.000 euros et le mineur aurait empoché la moitié de la somme, selon une autre source proche du dossier.
Le parquet de Paris avait indiqué plus tôt dans la journée que ce mineur "identifié comme l'auteur de cette fuite était déjà sous contrôle judiciaire, pour avoir été interpellé en juin dans un dossier de fuites de données de clients notamment de Sport 2000, et de piratage des comptes Twitter (devenu X, NDLR) du groupe Altice (RMC, BFMTV)".
Selon la source proche du dossier, il avait aussi été placé en garde à vue en décembre mais sans faire l'objet de poursuites, pour d'autres fuites de données concernant d'autres entreprises. Sollicitée par l'AFP, l'avocate du mise en cause, Me Camille Lucotte, s'est dite "très surprise qu'il soit le seul inquiété dans cette affaire, alors qu'il en est manifestement un acteur secondaire et que l'auteur principal est clairement identifié par les enquêteurs".
"Plus que jamais, il nous faut renforcer la prévention des jeunes en matière cyber"
"Mon client est dans la volonté de coopérer avec la justice", a-t-elle ajouté, critiquant le parquet qui "morcelle les procédures, multiplie les perquisitions et les gardes à vue successives pour des faits connexes". "Ils nous ont fait confiance en déposant plainte et ils ont tout compris! Merci Free", a de son côté salué sur LinkedIn, dans une référence au slogan de l'entreprise, la vice-procureure Johanna Brousse, cheffe de la section de lutte contre la cybercriminalité.
"Plus que jamais, il nous faut renforcer la prévention des jeunes en matière cyber", a-t-elle ajouté. Entre septembre et fin novembre, outre Free, Auchan, SFR, la plateforme de streaming Molotov, Truffaut, Cultura, Boulanger et Le Point ont tous confirmé la fuite de données personnelles de leurs utilisateurs. Soit plusieurs dizaines de millions de personnes concernés, clients ou utilisateurs, dont les adresses mails, postales, et parfois les Iban, sont revendus en ligne par les pirates.