À LA UNE Sécurité

La CNIL sanctionne lourdement Free et Free mobile… et c’est justifié !

Effrayant… C’est le mot qui vient immédiatement à l’esprit à la lecture du rapport de la CNIL qui sanctionne Free Mobile après sa massive fuite de données en octobre 2024. Affligeant est le second mot qui vient immédiatement derrière. Car les manquements de Free Mobile et Free en matière de cybersécurité méritent sans conteste la sanction de 42 millions d’euros que vient de lui infliger la CNIL !

Elle reste l’une des plus graves fuites de données jamais subies par un opérateur français. La cyberattaque contre Free Mobile en octobre 2024 a exposé plus de 24 millions de contrats, dont plus de 19 millions de fiches clients Free Mobile et jusqu’à 5 millions d’IBAN sur les contrats « fixes ». Une attaque pourtant menée par un mineur de 16 ans, mis en examen en janvier 2025. Et 2 614 plaintes ont été très officiellement déposées auprès de la CNIL pour cette violation de données !

Alors, face à une telle déroute, la CNIL a décidé de frapper fort. Dans sa délibération SAN-2026-001 (8 janvier 2026), publiée le 14 janvier, l’autorité inflige à Free Mobile une amende administrative de 27 millions d’euros, assortie d’une injonction et d’une astreinte de 50 000 euros par jour de retard. S’y ajoute une amende de 15 millions d’euros contre Free.

Et vous allez voir que cette amende record sanctionne de très graves manquements en matière de cybersécurité, une accumulation de mauvaises pratiques qui paraissent totalement invraisemblables 10 ans après l’entrée en vigueur du RGPD (c’était le 24 mai 2016 avec une application obligatoire le 25 mai 2018).

Petit rappel en guise de préambule

L’intrusion a commencé par une connexion au VPN de l’opérateur, puis par l’accès à l’outil métier de gestion des abonnés, dit MOBO, qui permettait d’effectuer des recherches et d’afficher les données clients via une fonction de consultation. Grâce à ce chemin d’accès, l’attaquant a pu lire des données d’identité, de contact, des informations contractuelles et, pour les clients convergents, des informations bancaires telles que l’IBAN. La CNIL relève qu’une anomalie technique survenue lors d’une mise à jour a permis l’affichage intégral de l’IBAN pour certains profils, anomalie corrigée seulement après la découverte de la fuite.

Des manquements majeurs mis en lumière

Dans sa délibération de sanction, la CNIL pointe plusieurs lacunes concrètes et dresse un tableau édifiant des manquements de Free Mobile, notamment autour de trois obligations clés du RGPD.

D’abord, l’opérateur est épinglé pour une conservation excessive des données, avec des informations d’anciens abonnés maintenues au-delà des durées annoncées, faute de purge réellement opérationnelle et faute de tri strict entre ce qui doit être supprimé et ce qui peut être conservé plus longtemps. La CNIL a relevé encore des dizaines de milliers de comptes résiliés depuis plus de dix ans dont la suppression n’était pas démontrée.

Ensuite, l’autorité retient un défaut de sécurité au sens de l’article 32 du RGPD, non pas sur un point isolé mais sur toute une chaîne d’accès qui a permis à un attaquant de se connecter via le VPN, de circuler dans le réseau interne et d’exploiter l’outil de gestion des abonnés MOBO. La CNIL pointe l’insuffisance des dispositifs de détection et d’analyse des comportements anormaux sur le VPN, le réseau interne et l’outil MOBO, alors même que la journalisation et son exploitation en temps réel sont des prérequis pour détecter et répondre à une intrusion. La CNIL met aussi en avant un scoring de connexions VPN paramétré de manière trop permissive et ajoute un grief connexe sur le stockage des mots de passe des utilisateurs de MOBO, considéré comme ne respectant pas le minimum attendu, même si cette faiblesse n’a pas été utilisée pendant l’attaque.

Enfin, l’autorité a également relevé l’absence d’authentification forte et d’authentification des postes nomades pour sécuriser les accès VPN, alors que l’ANSSI et la CNIL recommandent depuis des années l’usage de certificats machine et de l’authentification multifacteur pour le nomadisme numérique.

Parallèlement, Free Mobile est aussi sanctionné pour une information des personnes concernées jugée insuffisante, parce que les premiers messages envoyés après la découverte de la violation n’explicitaient pas assez clairement les conséquences probables, les mesures de remédiation et les recommandations utiles pour permettre aux abonnés de se protéger.

Au total, la CNIL retient l’image d’une organisation qui n’a pas industrialisé des fondamentaux de cybersécurité et de conformité pourtant essentiels à l’échelle d’un opérateur, la suppression effective des données, le durcissement des accès, la capacité de détection et la transparence opérationnelle envers les personnes exposées.

Une sanction logique contre une gestion inadmissible

Sur le plan juridique, la CNIL rappelle que l’obligation de sécurité du RGPD est une obligation de moyens mais que cette obligation implique néanmoins des mesures adaptées à l’état de l’art et au risque, et que la simple survenance d’une violation ne suffit pas à exonérer un responsable de traitement. Dit autrement, on ne vous demande pas d’être invulnérable, mais on attend que vous appliquiez les règles élémentaires que l’ANSSI et la CNIL martèlent depuis des années.
Il est piquant de constater qu’un acteur d’infrastructure, dépositaire d’identités, de coordonnées, d’historiques contractuels, et de données financières de dizaines de millions d’abonnés, ait pu laisser un hacker naviguer dans son SI durant près d’un mois (sans détecter les signaux les plus évidents) et puisse invoquer des « contraintes techniques » pour expliquer qu’un mécanisme de purge n’était pas achevé alors qu’il a les moyens humains et financiers pour le faire. La justification selon laquelle la suppression massive de données poserait un risque de blocage des services métiers laisse à penser que l’architecture du SI a été conçue sans le moindre intérêt pour la conformité. Conserver « potentiellement indéfiniment » des données d’anciens abonnés parce qu’une purge à grande échelle est complexe, c’est précisément ce que le RGPD interdit.

Pour terminer, il est important de signaler que Free Mobile n’a pas attendu la sanction pour réagir. L’opérateur a engagé des actions correctives pendant la procédure, notamment le déploiement d’un centre opérationnel de sécurité (SOC), la mise en place d’équipes de réponse aux incidents, et des dispositifs de surveillance renforcée pour MOBO et le VPN. Autant de cyberdéfenses qui auraient en réalité dû exister bien avant l’incident.
Au final, cette délibération a valeur de signal industriel autant que de rappel à l’ordre. La CNIL ne sanctionne pas une entreprise parce qu’elle a été attaquée, elle sanctionne un opérateur parce que des garde-fous élémentaires n’étaient pas au niveau, alors même que la nature de son métier le place au cœur de la vie numérique de millions de Français.

Legisway lance un module de Contract Management

Vol de smartphone et sécurité numérique
Gaidar Magdanurov, Acronis

Confidentialité des données : Les consommateurs très sceptiques sur les initiatives des grands distributeurs

Le Syntec et l’Afdel réagissent au plan numérique

Intégrer la voix dans une stratégie omnicanale
Jérôme Lebrun, Almavia

La CNIL sanctionne lourdement Free et Free mobile… et c’est justifié !

Petit rappel en guise de préambule

Des manquements majeurs mis en lumière

Une sanction logique contre une gestion inadmissible

À lire également :

600 partenaires actifs pour Free Pro

Free pourrait écoper d’une amende de 48 millions d’euros

Les clients de Free victimes de campagnes d’hameçonnage

CNIL, filtrage web et RGPD – Quand le droit rencontre la technologie…

Avec Cloud XPR, Free dévoile ses ambitions dans le cloud hybride

InfiormatiqueNews.fr

Rajouter InformatiqueNews.fr sur votre écran d'accueil