La CNIL a relevé plusieurs failles après la grosse cyberattaque ayant touché Free en octobre 2024. Elle prononce une amende salée à l'encontre de l'opérateur et lui impose d'agir rapidement à plusieurs niveaux.

En octobre 2024, l'opérateur Free subissait une cyberattaque sans précédent. 24 millions de clients fixe et mobile voient leurs données personnelles dérobées et vendues au plus offrant sur le Dark Web. On parlait de 19 millions à l'époque, mais c'était plus grave que prévu. Outre les classiques nom, prénom ou adresse mail, les IBAN des personnes impactées se retrouvent dans la nature. Free annonce l'incident à la CNIL comme l'exige la loi, et l'organisme entame son enquête afin de comprendre comment cela a pu se produire.

La Commission nationale de l'informatique et des libertés rend aujourd'hui son verdict et le résultat est sévère : 42 millions d'euros d'amende au total. Plus précisément, Free doit payer 15 millions et Free Mobile 27 millions. Dans son argumentaire, l'entité explique avoir fixé ces montants en partie à cause “de la méconnaissance de principes essentiels en matière de sécurité“. Que veut-elle dire par là exactement ?

Free écope d'une amende sévère pour avoir mal géré sa cybersécurité

Au cours de son investigation, la CNIL s'est par exemple rendue compte que le VPN permettant d'accéder à l'intranet de Free et Free Mobile ne détectait pas les comportements anormaux. L'intrusion des pirates est donc passée inaperçue. D'une manière générale, elle constate que “les mesures de sécurité déployées par les sociétés afin d’assurer [la] confidentialité [des données sensibles] n’étaient pas adaptées“.

En plus de ces aspects techniques, il est noté que Free a manqué à son devoir d'information des clients suite à la cyberattaque. Le mail envoyé aux personnes concernées ne permettait pas de “comprendre directement les conséquences de la violation, ainsi que les mesures qu’elles pouvaient mettre en place pour se protéger de celles-ci“.

Enfin, la CNIL mentionne que l'opérateur a conservé beaucoup de données plus longtemps que ne l'autorisent les délais légaux. Il aurait dû les supprimer, ce qu'il a commencé à faire après les faits. La commission a fixé des délais de 3 à 6 mois pour que Free se mette en conformité sur les points relevés.