Condamnation de FREE, pourquoi la CNIL a infligé une amende record ?

Mardi 20 Janvier 2026, par Benjamin Lepeltier

Le mercredi 14 janvier 2026, les opérateurs Free et Free Mobile ont été sanctionnés à hauteur de 42 millions d'euros par la CNIL pour « manquements » à leurs obligations de sécurité suite à une fuite de données survenue en 2024.

L’autorité de contrôle met particulièrement en lumière un problème central : l’absence de “défense en profondeur”.

Autrement dit, la sécurité du système d’information ne reposait pas sur un ensemble cohérent de couches de protection compensatoires. Résultat : plusieurs faiblesses techniques se sont cumulées et ont facilité la violation de données.

1. Accès distant / VPN : un canal d’interconnexion insuffisamment sécurisé

Premier manquement majeur relevé par la CNIL : l’accès au système d’information via VPN, sans garanties suffisantes ni sur l’utilisateur, ni sur la machine utilisée.

Absence d’authentification du poste

La CNIL rappelle les recommandations de l’ANSSI : l’accès VPN depuis un poste nomade devrait s’appuyer sur une authentification du poste lui-même, par exemple via un certificat machine lié à l’équipement (et non à l’utilisateur), avec une clé privée correctement protégée. L’objectif est clair : empêcher l’accès depuis des postes non maîtrisés.

Authentification multi-facteur insuffisante

Autre lacune : l’absence, ou l’insuffisance, d’authentification multi-facteur (MFA) pour les connexions réalisées depuis l’extérieur du réseau interne. Or, le MFA est explicitement recommandé par la CNIL et l’ANSSI pour ce type d’accès.

Pour la CNIL, ces insuffisances ont rendu possible ou facilité la violation de données, constituant un manquement à l’article 32 du RGPD.

2. Détection et journalisation : voir ne suffit pas, il faut comprendre et alerter

La décision rappelle un point essentiel : collecter des logs ne suffit pas. Encore faut-il disposer de capacités d’analyse, d’alerting (quasi temps réel ou à court terme) et de processus de traitement efficaces.

Un VPN incapable de détecter l’anormal

Free disposait d’un dispositif de « scoring » des connexions VPN. Mais celui-ci était configuré pour autoriser les connexions par défaut, sauf dans des cas très limités. Face à l’attaque — marquée notamment par un volume anormalement élevé de connexions — ce mécanisme s’est révélé inefficace.

Résultat : l’intrusion n’a pas été détectée pendant près d’un mois, alors même que de multiples accès aux données étaient en cours.

Une fois le VPN franchi, plus aucune alerte

La CNIL relève également l’absence de mesures suffisantes pour détecter des comportements suspects au sein du réseau interne. Une fois le VPN compromis, l’attaquant a pu se déplacer et accéder à d’autres ressources sans déclencher d’alerte significative.

L’outil MOBO : une faiblesse applicative exploitée

L’outil interne de gestion clientèle, MOBO, constitue un autre point critique.

Au moment du contrôle, la société analysait et générait surtout des alertes sur la fonctionnalité de consultation des données, mais pas suffisamment sur la fonctionnalité de recherche.

Or, la CNIL met en évidence une faiblesse applicative importante : même si l’interface utilisateur n’affichait pas directement les résultats, une recherche générait une réponse HTTP contenant des données personnelles, consultables via les outils développeur du navigateur.

Ainsi, un utilisateur pouvait accéder à des données personnelles sans passer par la fonction “consultation”, contournant les mécanismes de surveillance existants.

Pour la CNIL, les requêtes de recherche auraient dû faire l’objet du même niveau de journalisation et d’alerting que les consultations. Cette faille a été directement exploitée lors de l’incident.

3. Stockage des mots de passe MOBO : une robustesse insuffisante

Enfin, la CNIL relève un manquement distinct concernant le stockage des mots de passe des utilisateurs de l’outil MOBO.

Elle rappelle les exigences de l’état de l’art : les mots de passe doivent être protégés par un hachage à sens unique robuste, lent et coûteux en mémoire (de type Argon2, bcrypt, scrypt, yescrypt), avec un sel et des paramètres adaptés.

Au jour du contrôle, les modalités de stockage ne garantissaient pas suffisamment la confidentialité des mots de passe. Même si cette faiblesse n’a pas été exploitée lors de l’attaque, elle constitue en elle-même un manquement à l’article 32 du RGPD.

En conclusion

La décision de la CNIL illustre surtout une leçon clé en matière de cybersécurité : la sécurité ne peut pas reposer sur un unique mécanisme, aussi sophistiqué soit-il.

Sans défense en profondeur, combinant authentification forte, contrôle des postes, détection comportementale, journalisation pertinente et robustesse applicative, les vulnérabilités finissent par se cumuler. Dans le cas de Free, cette accumulation s’est traduite par une violation majeure… et une sanction financière historique.