Vous n'avez pas dû le rater, Free a été victime d'une attaque informatique il y a quelques semaines et les données personnelles de nombreux internautes se sont retrouvées dans les mains de pirates. Mais il y a un autre problème que nous avons découvert et qui n'a pas été mis en avant jusque-là : jusqu'en octobre 2024, Free envoyait des mots de passe en clair dans certains cas, par courrier postal, et de ce que nous pouvons supposer les mots de passe en question étaient donc probablement enregistrés aussi en clair dans une base de données, a priori sans chiffrement1. Rappelons qu'en 2022, Free avait été condamné à 300 000 € d'amende par la CNIL pour avoir stocké des mots de passe en clair.
Le cas dans lequel on pouvait recevoir son mot de passe en clair par courrier était assez particulier : il était lié à une offre disparue, l'accès gratuit Free. Nous l'avions évoqué en novembre 2023 : il était encore possible à l'époque de souscrire à une offre gratuite avec un accès en 56K — même si les serveurs sont coupés depuis belle lurette, comme nous l'a confirmé Xavier Niel —, et déjà à ce moment nous avions noté que le mot de passe était envoyé en clair, dans la lettre qui fournit les données du compte. Free a fait disparaître la possibilité de créer un compte gratuit en février 2024, mais les comptes ouverts, eux, sont restés accessibles.
Au début de l'automne, nous avons été interpellés par un fil sur Reddit : une personne indiquait que Free envoyait le message en clair. Nous avons donc tenté d'obtenir le mot de passe du compte gratuit ouvert en 2023 en prétextant un oubli, et nous avons bien reçu le mot de passe en clair, dans un courrier. Le mot de passe avait été changé par nos soins depuis l'inscription, et c'est bien le mot de passe modifié (nous ne l'avions pas vraiment oublié) qui a été reçu. Par ailleurs, la lettre type reçue était la même qu'en 2023, avec les informations pour l'accès 56K.
