Nous évaluons les fournisseurs sur la base de tests et de recherches rigoureux, mais nous tenons également compte de vos commentaires et de nos commissions d’affiliation avec les fournisseurs. Certains fournisseurs appartiennent à notre société mère.
En savoir plus
vpnMentor a été créé en 2014 pour tester les services VPN et assurer la protection de la vie privée. Aujourd'hui, notre équipe composée d'une centaine de chercheurs en cybersécurité, de rédacteurs et d'éditeurs continue d'aider les lecteurs à défendre leur liberté en ligne en partenariat avec Kape Technologies PLC, qui développe notamment les produits suivants : ExpressVPN, CyberGhost, ZenMate, Private Internet Access, et Intego, qui sont également testés sur ce site. Les avis publiées par vpnMentor sont à jour, et écrits selon des normes strictes qui privilégient une évaluation professionnelle et objective de la part du rédacteur, en tenant compte des capacités techniques et des qualités du produit, ainsi que de sa valeur ajoutée pour l'utilisateur. Les classements et les tests que nous publions peuvent également tenir compte de notre partenariat mentionné ci-dessus et nous percevons des commissions pour les achats effectués via les liens qui figurent sur notre site web. Nous ne testons pas tous les fournisseurs de VPN et les informations de chaque article sont à jour.
Divulgation publicitaire

vpnMentor a été créé en 2014 pour tester les services VPN et assurer la protection de la vie privée. Aujourd'hui, notre équipe composée d'une centaine de chercheurs en cybersécurité, de rédacteurs et d'éditeurs continue d'aider les lecteurs à défendre leur liberté en ligne en partenariat avec Kape Technologies PLC, qui développe notamment les produits suivants : ExpressVPN, CyberGhost, ZenMate, Private Internet Access, et Intego, qui sont également testés sur ce site. Les avis publiées par vpnMentor sont à jour, et écrits selon des normes strictes qui privilégient une évaluation professionnelle et objective de la part du rédacteur, en tenant compte des capacités techniques et des qualités du produit, ainsi que de sa valeur ajoutée pour l'utilisateur. Les classements et les tests que nous publions peuvent également tenir compte de notre partenariat mentionné ci-dessus et nous percevons des commissions pour les achats effectués via les liens qui figurent sur notre site web. Nous ne testons pas tous les fournisseurs de VPN et les informations de chaque article sont à jour.

Reportage : une fuite de données client de Freedom Mobile expose jusqu'à 1,5 million d’utilisateurs

Guy Fawkes Experts en cybersécurité anonymes

L’équipe de recherche de vpnMentor a découvert une énorme fuite de données chez Freedom Mobile.

Menés par les hacktivistes Noam Rotem et Ran Locar, les chercheurs de vpnMentor ont découvert une brèche exposant les données personnelles de jusqu’à 1,5 million d’utilisateurs Freedom Mobile actifs. Freedom Mobile (anciennement Wind Mobile) est le quatrième plus gros opérateur mobile du Canada.

La base de données n’est pas du tout protégée, et n’est pas cryptée. Ces données incluent des numéros de cartes bancaires et des numéros CVV.

Chronologie de la découverte de la fuite et des réactions

  • 17 Avril : nous découvrons la fuite dans la base de données de Freedom Mobile.
  • 18 Avril : nous envoyons un mail à Freedom Mobile pour informer l’entreprise de cette grosse fuite de données. Aucune réponse.
  • 23 Avril : nous essayons à nouveau de contacter Freedom Mobile.
  • 24 Avril : Freedom Mobile répond enfin à nos messages.
  • 24 Avril : Freedom Mobile répare la fuite de données.

Exemples d’entrées de la base de données

De manière similaire à Gearbest et sa base de données Elasticsearch non protégée, la base de données de Freedom Mobile n’avait aucun cryptage. Nous avons eu un accès complet à plus de 5 millions d’enregistrements, associés à jusqu’à 1.5 million d’utilisateurs.

Ces enregistrements semblent indiquer toutes les actions effectuées au sein du compte d'un utilisateur, permettant plusieurs saisies par client.

Les données personnelles divulguées incluent :

  • L’adresse e-mail
  • Les numéros de téléphone portable et fixe
  • Les adresses postales
  • La date de naissance
  • Le type de client
  • L’adresse IP associée à la méthode de paiement
  • Les numéros de cartes bancaires et numéros CVV non cryptés
  • Les côtes de solvabilité d’Equifax et autres entreprises, ainsi que les raisons de l’acceptation/du refus

Nous avons également pu accéder aux numéros de comptes, aux dates d’abonnement, aux cycles de facturation, et aux archives du service client avec localisations incluses.

Certaines saisies contenaient des données provenant de la base de données d’Equifax. Elles contenaient des informations sur les côtes de solvabilité, le type de crédit, et les comptes associés aux cartes bancaires.

Impact de cette fuite de données

Ce qui est ironique, c’est que Freedom Mobile se targue d’offrir de hauts niveaux de confidentialité. C’est même dans leur bio Twitter :

Toutefois, il est évident qu’ils ont partagé, voire même divulgué les données de leurs clients.

Après avoir découvert la fuite, nous avons immédiatement alerté Freedom Mobile du problème. Comme ils ne répondaient pas, nous avons demandé à nos contacts d’un autre site de sécurité de nous aider à les contacter au cas où nos emails se retrouvaient dans les spams. Mais ils ont fini par répondre, ce qui indique que ce n’est pas le cas.

Pour des raisons éthiques, nous n’avons pas téléchargé la base de données, nous ne savons donc pas exactement combien de gens sont touchés.

Toutefois, nous avons pu accéder à au moins 5 millions d’enregistrements non protégés. Freedom Mobile a au moins 1,5 million d’abonnés, et sa compagnie mère appartient à Shaw Communications qui a plus de 3.2 millions de clients dans tout le Canada. C’est probablement la plus grosse fuite de données subie par une entreprise canadienne.

Il est rare de trouver une fuite qui donne à la fois les informations bancaires et les numéros CVV, surtout sur une fuite de cette taille.

Comme cette fuite de données contient des informations bancaires non cryptées, Freedom Mobile est potentiellement en désaccord avec les règles du PCI (Payment Card Industry). Cela pourrait avoir un impact très réel sur l’entreprise et sur ses clients.

Les risques de piratage

Une base de données contenant des informations bancaires complètes, des dates de naissances, des noms complets assortis de l’adresse postale et du numéro de téléphone permet les fraudes bancaires et les vols d’identité. Cela pourrait être dangereux pour leurs utilisateurs, mais aussi pour leurs banques et leurs compagnies d’assurance et leur coûter des centaines de milliers de dollars.

Une base de données contenant des informations personnelles non cryptées est une ressource de grande valeur pour les hackers. Un accès aux adresses, aux adresses mail, aux numéros de téléphone et aux données bancaire peut aider les hackers à créer des attaques phishing sophistiquées.

Les informations bancaires permettent aussi des attaques ransomware ultra ciblées, puisque les hackers savent à qui demander de grosses sommes d’argent.

Même l’utilisateur le plus prudent ne peut pas se protéger contre une entreprise qui enregistre ses données sur une base de données non sécurisée. La meilleure manière que nous avons trouvée, c’est d’utiliser une carte, un compte ou un numéro CVV temporaire avec votre compte. Consultez notre guide complet pour plus d’informations.

À propos de nous et de nos reportages précédents :

vpnMentor est le plus gros site d’avis sur les VPN du web. Notre labo de recherche est un service gratuit qui souhaite aider la communauté internet à se défendre contre les cybermenaces tout en informant les organisations sur la meilleure façon de protéger les données de leurs utilisateurs.

Nous avons récemment découvert une énorme fuite de données touchant plus de 80 millions de foyers aux USA. Nous avons aussi révélé l’immense fuite de données de Gearbest. Vous pourriez aussi vouloir consulter notre rapport sur les fuites VPN et notre article sur les statistiques de la confidentialité des données.

Merci de partager cet article sur Facebook ou Twitter.

Nous évaluons les fournisseurs sur la base de tests et de recherches rigoureux, mais nous tenons également compte de vos commentaires et de nos commissions d’affiliation avec les fournisseurs. Certains fournisseurs appartiennent à notre société mère.
En savoir plus
vpnMentor a été créé en 2014 pour tester les services VPN et assurer la protection de la vie privée. Aujourd'hui, notre équipe composée d'une centaine de chercheurs en cybersécurité, de rédacteurs et d'éditeurs continue d'aider les lecteurs à défendre leur liberté en ligne en partenariat avec Kape Technologies PLC, qui développe notamment les produits suivants : ExpressVPN, CyberGhost, ZenMate, Private Internet Access, et Intego, qui sont également testés sur ce site. Les avis publiées par vpnMentor sont à jour, et écrits selon des normes strictes qui privilégient une évaluation professionnelle et objective de la part du rédacteur, en tenant compte des capacités techniques et des qualités du produit, ainsi que de sa valeur ajoutée pour l'utilisateur. Les classements et les tests que nous publions peuvent également tenir compte de notre partenariat mentionné ci-dessus et nous percevons des commissions pour les achats effectués via les liens qui figurent sur notre site web. Nous ne testons pas tous les fournisseurs de VPN et les informations de chaque article sont à jour.

A propos de l'auteur

Des experts anonymes qui écrivent pour vpnMentor mais gardent leur identité secrète.

Vous avez aimé cet article ? Notez-le !
Mauvais Je n'ai pas vraiment aimé C'était bien Plutôt bien ! J'ai aimé !
sur 10 - note attribuée par utilisateurs
Merci de votre retour.

Dites-nous comment améliorer cet article dans les commentaires. Votre avis nous importe !

Laisser un commentaire

Désolé, les liens ne sont pas autorisés dans ce champ !

Le nom doit comporter au moins 3 lettres

Le contenu de ce champ ne doit pas comporter plus de 80 lettres

Désolé, les liens ne sont pas autorisés dans ce champ !

Veuillez saisir une adresse électronique valide

Nous vous remercions pour votre commentaire, %%name%% !

Nous examinons tous les commentaires sous 48 heures afin de nous assurer qu’ils sont authentiques et non injurieux. N’hésitez pas à partager cet article.