Nous évaluons les fournisseurs sur la base de tests et de recherches rigoureux, mais nous tenons également compte de vos commentaires et de nos commissions d’affiliation avec les fournisseurs. Certains fournisseurs appartiennent à notre société mère.
En savoir plus
vpnMentor a été établi en 2014 en tant que site d'analyse de VPN indépendant, qui couvre aussi les actualités relatives à la confidentialité. Aujourd'hui, notre équipe composée de centaines de chercheurs en cybersécurité, nos journalistes et nos rédacteurs continuent à aider les lecteurs à se battre pour leur liberté en ligne, en partenariat avec Kape Technologies PLC, à qui appartiennent les produits suivants : ExpressVPN, CyberGhost, et Private Internet Access, qui peuvent être classés et analysés sur ce site. Les avis publiés sur vpnMentor sont considérés comme exacts au moment de la rédaction de chaque article, et sont rédigés selon nos critères stricts qui mettent la priorité sur l’examen indépendant, professionnel et honnête du testeur et prennent en compte les capacités et qualités techniques du produit ainsi que son intérêt commercial pour les utilisateurs. Les avis et les classements que nous publions peuvent également tenir compte de notre appartenance au même groupe d'entreprises et des commissions d’affiliés que nous percevons à la suite d’achats effectués depuis les liens présents sur nos sites. Nous n'évaluons pas tous les fournisseurs de VPN, et les informations sont considérées comme exactes au moment de la rédaction de charque article
Divulgation publicitaire

vpnMentor a été établi en 2014 en tant que site d'analyse de VPN indépendant, qui couvre aussi les actualités relatives à la confidentialité. Aujourd'hui, notre équipe composée de centaines de chercheurs en cybersécurité, nos journalistes et nos rédacteurs continuent à aider les lecteurs à se battre pour leur liberté en ligne, en partenariat avec Kape Technologies PLC, à qui appartiennent les produits suivants : ExpressVPN, CyberGhost, et Private Internet Access, qui peuvent être classés et analysés sur ce site. Les avis publiés sur vpnMentor sont considérés comme exacts au moment de la rédaction de chaque article, et sont rédigés selon nos critères stricts qui mettent la priorité sur l’examen indépendant, professionnel et honnête du testeur et prennent en compte les capacités et qualités techniques du produit ainsi que son intérêt commercial pour les utilisateurs. Les avis et les classements que nous publions peuvent également tenir compte de notre appartenance au même groupe d'entreprises et des commissions d’affiliés que nous percevons à la suite d’achats effectués depuis les liens présents sur nos sites. Nous n'évaluons pas tous les fournisseurs de VPN, et les informations sont considérées comme exactes au moment de la rédaction de charque article

Reportage : une fuite de données client de Freedom Mobile expose jusqu'à 1,5 million d’utilisateurs

Guy Fawkes Mis à jour le 03/11/2023 Experts en cybersécurité anonymes

L’équipe de recherche de vpnMentor a découvert une énorme fuite de données chez Freedom Mobile.

Menés par les hacktivistes Noam Rotem et Ran Locar, les chercheurs de vpnMentor ont découvert une brèche exposant les données personnelles de jusqu’à 1,5 million d’utilisateurs Freedom Mobile actifs. Freedom Mobile (anciennement Wind Mobile) est le quatrième plus gros opérateur mobile du Canada.

La base de données n’est pas du tout protégée, et n’est pas cryptée. Ces données incluent des numéros de cartes bancaires et des numéros CVV.

Chronologie de la découverte de la fuite et des réactions

  • 17 Avril : nous découvrons la fuite dans la base de données de Freedom Mobile.
  • 18 Avril : nous envoyons un mail à Freedom Mobile pour informer l’entreprise de cette grosse fuite de données. Aucune réponse.
  • 23 Avril : nous essayons à nouveau de contacter Freedom Mobile.
  • 24 Avril : Freedom Mobile répond enfin à nos messages.
  • 24 Avril : Freedom Mobile répare la fuite de données.

Exemples d’entrées de la base de données

De manière similaire à Gearbest et sa base de données Elasticsearch non protégée, la base de données de Freedom Mobile n’avait aucun cryptage. Nous avons eu un accès complet à plus de 5 millions d’enregistrements, associés à jusqu’à 1.5 million d’utilisateurs.

Ces enregistrements semblent indiquer toutes les actions effectuées au sein du compte d'un utilisateur, permettant plusieurs saisies par client.

Les données personnelles divulguées incluent :

  • L’adresse e-mail
  • Les numéros de téléphone portable et fixe
  • Les adresses postales
  • La date de naissance
  • Le type de client
  • L’adresse IP associée à la méthode de paiement
  • Les numéros de cartes bancaires et numéros CVV non cryptés
  • Les côtes de solvabilité d’Equifax et autres entreprises, ainsi que les raisons de l’acceptation/du refus

Nous avons également pu accéder aux numéros de comptes, aux dates d’abonnement, aux cycles de facturation, et aux archives du service client avec localisations incluses.

Certaines saisies contenaient des données provenant de la base de données d’Equifax. Elles contenaient des informations sur les côtes de solvabilité, le type de crédit, et les comptes associés aux cartes bancaires.

Impact de cette fuite de données

Ce qui est ironique, c’est que Freedom Mobile se targue d’offrir de hauts niveaux de confidentialité. C’est même dans leur bio Twitter :

Toutefois, il est évident qu’ils ont partagé, voire même divulgué les données de leurs clients.

Après avoir découvert la fuite, nous avons immédiatement alerté Freedom Mobile du problème. Comme ils ne répondaient pas, nous avons demandé à nos contacts d’un autre site de sécurité de nous aider à les contacter au cas où nos emails se retrouvaient dans les spams. Mais ils ont fini par répondre, ce qui indique que ce n’est pas le cas.

Pour des raisons éthiques, nous n’avons pas téléchargé la base de données, nous ne savons donc pas exactement combien de gens sont touchés.

Toutefois, nous avons pu accéder à au moins 5 millions d’enregistrements non protégés. Freedom Mobile a au moins 1,5 million d’abonnés, et sa compagnie mère appartient à Shaw Communications qui a plus de 3.2 millions de clients dans tout le Canada. C’est probablement la plus grosse fuite de données subie par une entreprise canadienne.

Il est rare de trouver une fuite qui donne à la fois les informations bancaires et les numéros CVV, surtout sur une fuite de cette taille.

Comme cette fuite de données contient des informations bancaires non cryptées, Freedom Mobile est potentiellement en désaccord avec les règles du PCI (Payment Card Industry). Cela pourrait avoir un impact très réel sur l’entreprise et sur ses clients.

Les risques de piratage

Une base de données contenant des informations bancaires complètes, des dates de naissances, des noms complets assortis de l’adresse postale et du numéro de téléphone permet les fraudes bancaires et les vols d’identité. Cela pourrait être dangereux pour leurs utilisateurs, mais aussi pour leurs banques et leurs compagnies d’assurance et leur coûter des centaines de milliers de dollars.

Une base de données contenant des informations personnelles non cryptées est une ressource de grande valeur pour les hackers. Un accès aux adresses, aux adresses mail, aux numéros de téléphone et aux données bancaire peut aider les hackers à créer des attaques phishing sophistiquées.

Les informations bancaires permettent aussi des attaques ransomware ultra ciblées, puisque les hackers savent à qui demander de grosses sommes d’argent.

Même l’utilisateur le plus prudent ne peut pas se protéger contre une entreprise qui enregistre ses données sur une base de données non sécurisée. La meilleure manière que nous avons trouvée, c’est d’utiliser une carte, un compte ou un numéro CVV temporaire avec votre compte. Consultez notre guide complet pour plus d’informations.

À propos de nous et de nos reportages précédents :

vpnMentor est le plus gros site d’avis sur les VPN du web. Notre labo de recherche est un service gratuit qui souhaite aider la communauté internet à se défendre contre les cybermenaces tout en informant les organisations sur la meilleure façon de protéger les données de leurs utilisateurs.

Nous avons récemment découvert une énorme fuite de données touchant plus de 80 millions de foyers aux USA. Nous avons aussi révélé l’immense fuite de données de Gearbest. Vous pourriez aussi vouloir consulter notre rapport sur les fuites VPN et notre article sur les statistiques de la confidentialité des données.

Merci de partager cet article sur Facebook ou Twitter.

Nous évaluons les fournisseurs sur la base de tests et de recherches rigoureux, mais nous tenons également compte de vos commentaires et de nos commissions d’affiliation avec les fournisseurs. Certains fournisseurs appartiennent à notre société mère.
En savoir plus
vpnMentor a été établi en 2014 en tant que site d'analyse de VPN indépendant, qui couvre aussi les actualités relatives à la confidentialité. Aujourd'hui, notre équipe composée de centaines de chercheurs en cybersécurité, nos journalistes et nos rédacteurs continuent à aider les lecteurs à se battre pour leur liberté en ligne, en partenariat avec Kape Technologies PLC, à qui appartiennent les produits suivants : ExpressVPN, CyberGhost, et Private Internet Access, qui peuvent être classés et analysés sur ce site. Les avis publiés sur vpnMentor sont considérés comme exacts au moment de la rédaction de chaque article, et sont rédigés selon nos critères stricts qui mettent la priorité sur l’examen indépendant, professionnel et honnête du testeur et prennent en compte les capacités et qualités techniques du produit ainsi que son intérêt commercial pour les utilisateurs. Les avis et les classements que nous publions peuvent également tenir compte de notre appartenance au même groupe d'entreprises et des commissions d’affiliés que nous percevons à la suite d’achats effectués depuis les liens présents sur nos sites. Nous n'évaluons pas tous les fournisseurs de VPN, et les informations sont considérées comme exactes au moment de la rédaction de charque article

A propos de l'auteur

Des experts anonymes qui écrivent pour vpnMentor mais gardent leur identité secrète.

Vous avez aimé cet article ? Notez-le !
Mauvais Je n'ai pas vraiment aimé C'était bien Plutôt bien ! J'ai aimé !
sur 10 - note attribuée par utilisateurs
Merci de votre retour.

Dites-nous comment améliorer cet article dans les commentaires. Votre avis nous importe !

Laisser un commentaire

Désolé, les liens ne sont pas autorisés dans ce champ !

Le nom doit comporter au moins 3 lettres

Le contenu de ce champ ne doit pas comporter plus de 80 lettres

Désolé, les liens ne sont pas autorisés dans ce champ !

Veuillez saisir une adresse électronique valide

Nous vous remercions pour votre commentaire, %%name%% !

Nous examinons tous les commentaires sous 48 heures afin de nous assurer qu’ils sont authentiques et non injurieux. N’hésitez pas à partager cet article.