Le réseau communautaire FreeWifi_Secure est coupé depuis le 1er octobre 2025. Free invoque la maturité des réseaux 4G et 5G, tandis qu’une faille de sécurité liée à l’authentification EAP-SIM a exposé des IMSI en clair, découverte par le hacker éthique Flavien Ruffel, alias 7h30th3r0n3.
Pour les abonnés Free, rien à configurer : FreeWifi_Secure s’est arrêté au 1ᵉʳ octobre 2025. Les Freebox Delta, Pop et Ultra ne diffusaient déjà plus ce réseau. Seules d’anciennes box continuaient. La raison officielle du fournisseur d’accès est que les performances mobiles en 4G et 5G, ainsi que les enveloppes de données sont suffisantes pour la plupart des usages en 2025.
Ce réseau Wi-Fi communautaire, lancé il y a plus de 15 ans, permettait de partager une partie de sa connexion Internet pour obtenir un accès chez d’autres abonnés en déplacement. La fermeture met fin à ce mode d’accès itinérant. Elle clôt aussi un dossier sensible de sécurité.
Une faille de sécurité sur le réseau Wi-Fi de Free
Le hacker éthique Flavien Ruffel, alias 7h30th3r0n3, documente sur son blog une faille touchant FreeWifi_Secure. Il dit l’avoir découverte en testant son outil Evil-M5, conçu pour le piratage éthique et l’exploration du Wi-Fi, près de sa propre Freebox. Son analyse pointe l’authentification EAP-SIM comme vecteur d’exposition.
Lors de ce processus, des smartphones envoient leur IMSI en clair. L’IMSI (identifiant d’abonné cellulaire) est unique pour chaque mobile. Aucune exploitation sophistiquée n’était requise : se trouver à proximité d’une Freebox et le fait d’écouter suffit à récupérer des identifiants IMSI de terminaux cherchant à se connecter.
À l’appui, l’examen via WireShark a révélé une entrée contenant l’IMSI complet en clair : 20815XXXXXXXXXX@wlan.mnc015.mcc208.3gppnetwork.org. Des vérifications ultérieures ont confirmé qu’il ne s’agissait pas d’un cas isolé. Pour le hacker éthique, c’est « un grave problème de confidentialité permettant le suivi, la corrélation entre IMSI et utilisateur et même une exploitation potentielle via des protocoles de télécommunications comme SS7 ».
Free a été au courant
Informé par le chercheur, Free aurait répondu rapidement, reconnu le problème et indiqué qu’il était déjà connu en interne. L’opérateur lui aurait demandé « de retarder la divulgation publique afin qu’il puisse d’abord déployer un programme mondial pour désactiver FreeWifi_Secure sur les appareils concernés ».
Le chercheur affirme avoir attendu, son objectif n’étant pas d’exposer des données avant correction. Entre-temps, le réseau n’était déjà plus présent sur les Freebox Delta, Pop et Ultra, mais restait actif sur d’anciens modèles.
Selon le récit, de très nombreux IMSI ont pu être collectés dans l’espace public, à l’insu des utilisateurs. La coupure complète de FreeWifi_Secure met fin de manière définitive à cette faille de sécurité.
