VIDEO

Piratage France Travail : trois suspects interpellés, l'ampleur de la fuite se confirme

On en sait plus sur la cyberattaque contre France Travail, où les données personnelles de plus de 43 millions de demandeurs d'emploi ont été dérobées. Trois suspects ont d'ores et déjà été interpellés. Et ils sont très jeunes !

C'est ce qu'on appelle une enquête efficace ! Le parquet de Paris a annoncé, le 19 mars dans un communiqué, que la brigade de lutte contre la cybercriminalité (BL2C) a d'ores et déjà interpellé trois personnes d'une vingtaine d'années liées au piratage d'ampleur de France Travail (ex-Pôle Emploi). En effet, l'organisme avait d'annoncé avoir subi, le 13 mars, une cyberattaque visant "potentiellement" 43 millions de personnes – un nombre qui a bien été confirmé par le parquet de Paris. Rien que ça ! "Suite à une cyberattaque dont nous avons été victimes avec Cap emploi, des informations personnelles vous concernant sont susceptibles d'être divulguées. Vos informations bancaires ne sont pas concernées. Nous sommes désolés de cet incident et nous vous invitons à rester vigilants", peut-on lire sur son site Internet, même plusieurs jours après l'annonce.

Les trois hommes ont été placés en détention et mis en examen pour "accès et maintien frauduleux dans un système de traitement automatisé de données, extraction de ces données, escroqueries et blanchiment". Le parquet précise que "chacune de ces infractions étant aggravées par la circonstance de bandes organisées".

Comme l'explique Laure Beccuau, la procureure de Paris, l'enquête a d'abord pu confirmer que l'attaque reposait entièrement sur "des comptes d'agent Cap Emploi, habilités à accéder aux ressources présentes sur le système d'information de France Travail" . Les autorités sont parvenues à identifier les trois suspects à l'aide "d'investigations techniques et téléphoniques". Une perquisition à leurs domiciles et une analyse du matériel informatique ont ensuite permis de découvrir qu'ils se livraient à "une activité d'escroquerie en recourant à la technique du phishing". La BL2C ne va toutefois pas arrêter ses recherches. Elle est désormais à la recherche d'éventuels autres acteurs impliqués dans le piratage de France Travail et cherche à déterminer avec précision le rôle que chacun a joué dans l'opération.

Piratage France Travail : un problème de sécurisation et de conservation des données ?

Pour rappel, l'attaque a eu lieu entre le 6 février et le 5 mars – soit une vaste période d'un mois –, mais elle n'a été détectée que dans la semaine du 11 mars, suite à des "requêtes suspectes" dans la base de données. Les informations personnelles "des personnes précédemment inscrites au cours des vingt dernières années ainsi que les personnes non inscrites sur la liste des demandeurs d'emploi, mais ayant un espace candidat sur francetravail.fr sont susceptibles d'être divulguées et d'être exploitées de manière illégale", explique l'agence de recherche d'emploi. Ont été dérobés les noms et les prénoms, les numéros de sécurité sociale, les dates de naissance, les identifiants France Travail, les adresses mail et postales, et les numéros de téléphone. Les mots de passe et les coordonnées bancaires n'ont en revanche pas fuité.

Un point fâche toutefois : la durée de conservation des données personnelles, qui peut, dans ce cas précis, aller jusqu'à vingt ans. C'est pour le moins inhabituel, surtout si on prend en compte le Règlement général de la protection des données (RGPD), qui prévoit la suppression des données personnelles inactives au bout de trois ans ! Toutefois, cette durée figure dans le document détaillant la politique et le cadre de France Travail en matière de protection des données personnelles – même si, soyons honnêtes, personne ne le lit. "Pour les personnes inscrites sur la liste des demandeurs d'emploi, les espaces personnels et les données sont conservés pendant une durée maximale de vingt ans après la cessation d'inscription sur la liste des demandeurs d'emploi", peut-on lire. France Travail renvoie ensuite au droit, en citant le Code du travail (R. 5312-44). Pourquoi un tel laps de temps ? Tout simplement pour permettre aux demandeurs d'emploi de reconstituer leur carrière à travers le temps, pour faire valoir leurs droits. Pour reconstituer le parcours professionnel de quelqu'un, il faut pouvoir garder différents éléments sur une longue période. Cela peut notamment être utile pour faire valoir son droit à la retraire, en récupérant des éléments liés à sa période de chômage, qu'il n'aurait pas forcément conservés. En revanche, pour les personnes qui ne sont pas inscrites sur la liste des demandeurs d'emploi, les espaces personnels sont supprimés treize mois après la dernière connexion.

Autre point qui fâche : la sécurisation des données. En effet, ce hold-up a été rendu possible par une "simple" usurpation d'identité de conseillers de Cap emploi, l'organisme en charge de la recherche d'emploi des personnes handicapées, comme le rapporte Le Monde. Pas de cyberattaque de pointe donc, mais simplement une action qui n'a certainement nécessité que du phishing... Un piratage qui met en lumière un cloisonnement insuffisant, voire absent, qui permettrait d'éviter une consultation trop large des données ou bien des opérations massives dessus par des personnes malveillantes. Au stade actuel de l'enquête, le parquet n'a pas révélé comment il est possible qu'autant de données aient pu être exfiltrées par de simples comptes de conseillers, et ce, sans déclencher la moindre alerte.

Piratage France Travail : une cyberattaque de plus

Une enquête préliminaire a été ouverte par le Parquet de Paris et confiée à la Brigade de lutte Contre la cybercriminalité de la direction de la police judiciaire de Paris, qui a mis en place un système de plainte simplifiée pour les personnes concernées. Conformément à la loi, France Travail a porté plainte et notifié la Commission nationale de l'informatique et des libertés (CNIL). Toutes les personnes concernées par la cyberattaque seront bien évidemment contactées. Un appui est également disponible par le biais de la plateforme téléphonique 39 49 afin d'accompagner ceux qui auraient des interrogations à ce sujet. Enfin, France Travail a mis à la disposition de ceux qui ont été touchés un formulaire simplifié pour leur permettre de porter plainte directement en ligne.

De son côté, la présidente de la CNIL, Marie-Laure Denis, a décidé "de mener très rapidement des investigations afin de déterminer notamment si les mesures de sécurité mises en œuvre préalablement à l'incident et en réaction à celui-ci étaient appropriées au regard des obligations du Règlement général sur la protection des données (RGPD)". Si vous êtes une personne concernée, la Commission vous conseille :

  • d'être particulièrement vigilant par rapport aux messages (SMS, mails) que vous pourriez recevoir, notamment s'ils vous invitent à effectuer une action en urgence, telle qu'un paiement ;
  • de ne jamais communiquer vos mots de passe ou vos coordonnées bancaires par messagerie ;
  • de ne pas ouvrir les pièces jointes en cas de doute et de ne pas cliquer pas sur les liens contenus dans des messages qui vous invitent à vous connecter à un espace personnel ;
  • de vérifier périodiquement les activités et les mouvements sur vos différents comptes ;
  • de vous rendre sur le site cybermalveillance.gouv.fr pour obtenir des conseils pour vous prémunir d'actions visant à usurper votre identité ;
  • de vous assurer que vous utilisez, pour votre messagerie, vos comptes bancaires et autres services importants (impôts, sites de commerce en ligne, etc.), des mots de passe suffisamment robustes.

Ce n'est pas la première fois que Pôle emploi est victime d'une fuite de données. En juin 2021 déjà, le site avait été dépouillé de 1,2 million de données personnelles concernant pas moins de 120 000 personnes. Pire, en été dernier, une cyberattaque contre un des prestataires de Pôle emploi a débouchée sur la vente des données personnelles de plus de 10 millions de demandeurs d'emploi (voir notre article).