Nous évaluons les fournisseurs sur la base de tests et de recherches rigoureux, mais nous tenons également compte de vos commentaires et de nos commissions d’affiliation avec les fournisseurs. Certains fournisseurs appartiennent à notre société mère.
En savoir plus
vpnMentor a été créé en 2014 afin d’évaluer les services VPN et de traiter des sujets liés à la confidentialité. Aujourd’hui, notre équipe de chercheurs, de rédacteurs et de correcteurs spécialisés dans la cybersécurité continue d’aider les lecteurs à préserver leur liberté en ligne en partenariat avec Kape Technologies PLC, qui possède également les produits suivants : Holiday.com, ExpressVPN, CyberGhost, et Private Internet Access, qui sont classés et évalués sur ce site web. Les critiques publiées sur vpnMentor sont considérés comme exacts à la date de publication de chaque article et rédigés conformément à nos normes d’évaluation strictes qui privilégient un contrôle professionnel et détaillé par l’évaluateur, en tenant compte des capacités techniques et des qualités du produit ainsi que de sa valeur commerciale pour les utilisateurs. Les classements et les critiques que nous publions peuvent également tenir compte de la propriété commune mentionnée ci-dessus et des commissions d’affiliation que nous percevons pour les achats effectués via les liens figurant sur notre site web. Nous ne réalisons pas d’évaluation de tous les fournisseurs VPN et les informations sont considérées comme exactes à la date de publication de chaque article.
Divulgation publicitaire

vpnMentor a été créé en 2014 afin d’évaluer les services VPN et de traiter des sujets liés à la confidentialité. Aujourd’hui, notre équipe de chercheurs, de rédacteurs et de correcteurs spécialisés dans la cybersécurité continue d’aider les lecteurs à préserver leur liberté en ligne en partenariat avec Kape Technologies PLC, qui possède également les produits suivants : Holiday.com, ExpressVPN, CyberGhost, et Private Internet Access, qui sont classés et évalués sur ce site web. Les critiques publiées sur vpnMentor sont considérés comme exacts à la date de publication de chaque article et rédigés conformément à nos normes d’évaluation strictes qui privilégient un contrôle professionnel et détaillé par l’évaluateur, en tenant compte des capacités techniques et des qualités du produit ainsi que de sa valeur commerciale pour les utilisateurs. Les classements et les critiques que nous publions peuvent également tenir compte de la propriété commune mentionnée ci-dessus et des commissions d’affiliation que nous percevons pour les achats effectués via les liens figurant sur notre site web. Nous ne réalisons pas d’évaluation de tous les fournisseurs VPN et les informations sont considérées comme exactes à la date de publication de chaque article.

Reportage : une fuite de données client de Freedom Mobile expose jusqu'à 1,5 million d’utilisateurs

Hendrik Human Publié le 07/05/2019 Chercheur en cybersécurité

L’équipe de recherche de vpnMentor a découvert une énorme fuite de données chez Freedom Mobile.

Menés par les hacktivistes Noam Rotem et Ran Locar, les chercheurs de vpnMentor ont découvert une brèche exposant les données personnelles de jusqu’à 1,5 million d’utilisateurs Freedom Mobile actifs. Freedom Mobile (anciennement Wind Mobile) est le quatrième plus gros opérateur mobile du Canada.

La base de données n’est pas du tout protégée, et n’est pas cryptée. Ces données incluent des numéros de cartes bancaires et des numéros CVV.

Chronologie de la découverte de la fuite et des réactions

  • 17 Avril : nous découvrons la fuite dans la base de données de Freedom Mobile.
  • 18 Avril : nous envoyons un mail à Freedom Mobile pour informer l’entreprise de cette grosse fuite de données. Aucune réponse.
  • 23 Avril : nous essayons à nouveau de contacter Freedom Mobile.
  • 24 Avril : Freedom Mobile répond enfin à nos messages.
  • 24 Avril : Freedom Mobile répare la fuite de données.

Exemples d’entrées de la base de données

De manière similaire à Gearbest et sa base de données Elasticsearch non protégée, la base de données de Freedom Mobile n’avait aucun cryptage. Nous avons eu un accès complet à plus de 5 millions d’enregistrements, associés à jusqu’à 1.5 million d’utilisateurs.

Ces enregistrements semblent indiquer toutes les actions effectuées au sein du compte d'un utilisateur, permettant plusieurs saisies par client.

Les données personnelles divulguées incluent :

  • L’adresse e-mail
  • Les numéros de téléphone portable et fixe
  • Les adresses postales
  • La date de naissance
  • Le type de client
  • L’adresse IP associée à la méthode de paiement
  • Les numéros de cartes bancaires et numéros CVV non cryptés
  • Les côtes de solvabilité d’Equifax et autres entreprises, ainsi que les raisons de l’acceptation/du refus

Nous avons également pu accéder aux numéros de comptes, aux dates d’abonnement, aux cycles de facturation, et aux archives du service client avec localisations incluses.

Certaines saisies contenaient des données provenant de la base de données d’Equifax. Elles contenaient des informations sur les côtes de solvabilité, le type de crédit, et les comptes associés aux cartes bancaires.

Impact de cette fuite de données

Ce qui est ironique, c’est que Freedom Mobile se targue d’offrir de hauts niveaux de confidentialité. C’est même dans leur bio Twitter :

Toutefois, il est évident qu’ils ont partagé, voire même divulgué les données de leurs clients.

Après avoir découvert la fuite, nous avons immédiatement alerté Freedom Mobile du problème. Comme ils ne répondaient pas, nous avons demandé à nos contacts d’un autre site de sécurité de nous aider à les contacter au cas où nos emails se retrouvaient dans les spams. Mais ils ont fini par répondre, ce qui indique que ce n’est pas le cas.

Pour des raisons éthiques, nous n’avons pas téléchargé la base de données, nous ne savons donc pas exactement combien de gens sont touchés.

Toutefois, nous avons pu accéder à au moins 5 millions d’enregistrements non protégés. Freedom Mobile a au moins 1,5 million d’abonnés, et sa compagnie mère appartient à Shaw Communications qui a plus de 3.2 millions de clients dans tout le Canada. C’est probablement la plus grosse fuite de données subie par une entreprise canadienne.

Il est rare de trouver une fuite qui donne à la fois les informations bancaires et les numéros CVV, surtout sur une fuite de cette taille.

Comme cette fuite de données contient des informations bancaires non cryptées, Freedom Mobile est potentiellement en désaccord avec les règles du PCI (Payment Card Industry). Cela pourrait avoir un impact très réel sur l’entreprise et sur ses clients.

Les risques de piratage

Une base de données contenant des informations bancaires complètes, des dates de naissances, des noms complets assortis de l’adresse postale et du numéro de téléphone permet les fraudes bancaires et les vols d’identité. Cela pourrait être dangereux pour leurs utilisateurs, mais aussi pour leurs banques et leurs compagnies d’assurance et leur coûter des centaines de milliers de dollars.

Une base de données contenant des informations personnelles non cryptées est une ressource de grande valeur pour les hackers. Un accès aux adresses, aux adresses mail, aux numéros de téléphone et aux données bancaire peut aider les hackers à créer des attaques phishing sophistiquées.

Les informations bancaires permettent aussi des attaques ransomware ultra ciblées, puisque les hackers savent à qui demander de grosses sommes d’argent.

Même l’utilisateur le plus prudent ne peut pas se protéger contre une entreprise qui enregistre ses données sur une base de données non sécurisée. La meilleure manière que nous avons trouvée, c’est d’utiliser une carte, un compte ou un numéro CVV temporaire avec votre compte. Consultez notre guide complet pour plus d’informations.

À propos de nous et de nos reportages précédents :

vpnMentor est le plus gros site d’avis sur les VPN du web. Notre labo de recherche est un service gratuit qui souhaite aider la communauté internet à se défendre contre les cybermenaces tout en informant les organisations sur la meilleure façon de protéger les données de leurs utilisateurs.

Nous avons récemment découvert une énorme fuite de données touchant plus de 80 millions de foyers aux USA. Nous avons aussi révélé l’immense fuite de données de Gearbest. Vous pourriez aussi vouloir consulter notre rapport sur les fuites VPN et notre article sur les statistiques de la confidentialité des données.

Merci de partager cet article sur Facebook ou Twitter.

Nous évaluons les fournisseurs sur la base de tests et de recherches rigoureux, mais nous tenons également compte de vos commentaires et de nos commissions d’affiliation avec les fournisseurs. Certains fournisseurs appartiennent à notre société mère.
En savoir plus
vpnMentor a été créé en 2014 afin d’évaluer les services VPN et de traiter des sujets liés à la confidentialité. Aujourd’hui, notre équipe de chercheurs, de rédacteurs et de correcteurs spécialisés dans la cybersécurité continue d’aider les lecteurs à préserver leur liberté en ligne en partenariat avec Kape Technologies PLC, qui possède également les produits suivants : Holiday.com, ExpressVPN, CyberGhost, et Private Internet Access, qui sont classés et évalués sur ce site web. Les critiques publiées sur vpnMentor sont considérés comme exacts à la date de publication de chaque article et rédigés conformément à nos normes d’évaluation strictes qui privilégient un contrôle professionnel et détaillé par l’évaluateur, en tenant compte des capacités techniques et des qualités du produit ainsi que de sa valeur commerciale pour les utilisateurs. Les classements et les critiques que nous publions peuvent également tenir compte de la propriété commune mentionnée ci-dessus et des commissions d’affiliation que nous percevons pour les achats effectués via les liens figurant sur notre site web. Nous ne réalisons pas d’évaluation de tous les fournisseurs VPN et les informations sont considérées comme exactes à la date de publication de chaque article.

A propos de l'auteur

Hendrik est rédacteur chez vpnMentor, spécialisé dans les comparatifs de VPN et les guides d’utilisation. Avec plus de 5 ans d’expérience en tant que rédacteur spécialisé dans la technologie et la cybersécurité, ainsi qu’une expérience dans l’informatique d’entreprise, il apporte de nombreuses perspectives pour tester les services VPN et analyser la façon dont ils répondent aux besoins des différents utilisateurs.

Vous avez aimé cet article ? Notez-le !
Mauvais Je n'ai pas vraiment aimé C'était bien Plutôt bien ! J'ai aimé !
sur 10 - note attribuée par utilisateurs
Merci de votre retour.

Dites-nous comment améliorer cet article dans les commentaires. Votre avis nous importe !

Laisser un commentaire

Ce champ doit comporter plus de 50 caractères

Le contenu de ce champ ne doit pas comporter plus de 1000 lettres

Désolé, les liens ne sont pas autorisés dans ce champ !

Le nom doit comporter au moins 3 lettres

Le contenu de ce champ ne doit pas comporter plus de 80 lettres

Désolé, les liens ne sont pas autorisés dans ce champ !

Special characters are not allowed in the Name field

Veuillez saisir une adresse électronique valide