Piratage France Travail : les données dérobées en vente sur un forum de pirates ?

Piratage France Travail : les données dérobées en vente sur un forum de pirates ?

Alors que trois pirates se sont récemment faits arrêter, deux cybercriminels ont mis en vente sur le Dark Web ce qu'ils affirment être la base de données dérobée lors de piratage de France Travail. Mais est-ce vraiment le cas ?

Ils ne sont ni Russes, ni Chinois, ni des membres d'un groupe de pirates informatiques chevronnés, mais des jeunes de Valence, dans la Drôme – certains d'entre eux vivent même encore chez leurs parents ! Mardi dernier, les trois pirates informatiques, âgés de 22 à 24 ans, soupçonnés d'être responsables du piratage de France Travail (ex-Pôle Emploi) ont été mis en examen pour "accès et maintien frauduleux dans un système de traitement de données, extraction de données, escroquerie et blanchiment en bande organisée". Ils se seraient faits passer pour un agent de Cap Emploi, une filiale de France Travail, ayant perdu son code d'accès afin d'accéder aux ressources présentes sur le système d'informations de France Travail. Une perquisition à leurs domiciles et une analyse du matériel informatique ont permis de découvrir qu'ils se livraient à "une activité d'escroquerie en recourant à la technique du phishing" (voir notre article).

Pour rappel, France Travail avait annoncé avoir subi, le 13 mars dernier, une cyberattaque visant "potentiellement" 43 millions de personnes – un nombre qui a bien été confirmé par le parquet de Paris. Ont été dérobés les noms et les prénoms, les numéros de sécurité sociale, les dates de naissance, les identifiants France Travail, les adresses mail et postales, et les numéros de téléphone de demandeurs d'emploi actuels, ainsi que de personnes ayant été à la recherche d'un travail au cours des vingt dernières années. Autant d'informations qui servent à commettre des escroqueries en tous genres. Les mots de passe et les coordonnées bancaires n'ont en revanche pas fuité. Mais cette histoire est loin d'être finie ! Comme l'a repéré Zataz, deux cybercriminels ont annoncé la mise en vente des données prétendument volées sur le Dark Web, par le biais d'un forum de hacking. Alors, bluff ou véritable vente ?

© Zataz

Piratage France Travail : des données qui sont encore à authentifier

"Après avoir refusé la demande de paiement pour nous empêcher de vendre la base de données, nous avons décidé de la mettre en vente" , annonce un des deux vendeurs. Selon eux, elle comprendrait des informations comme le nom, la date de naissance, le numéro de Sécurité sociale, l'identifiant France Travail, l'e-mail, le code postal, le numéro de téléphone, l'adresse postale, et l'adresse IP des usagers. Bref, rien de nouveau sous le soleil, ce sont les données évoquées par France Travail lors de l'annonce du piratage. Les deux hackers invitent ensuite les potentiels acheteurs à les contacter sur Telegram, une messagerie instantanée chiffrée de bout en bout très appréciée des hackers, pour négocier leur prix.

Pour le moment, on ignore quel est le lien entre les personnes tentant de vendre les données et les trois cybercriminels interpellés par les forces de l'ordre – et même s'il existe un bien un lien. De plus, impossible de vérifier l'authenticité des informations commercialisées par les pirates. Il pourrait très bien s'agir d'un coup de bluff ou d'anciennes informations trouvées sur le Dark Web. Reste que les informations dérobées à France Travail représentent une véritable mine d'or. En effet, même si les cartes bancaires n'ont pas été touchées dans la cyberattaque, les données dérobées peuvent être utilisées pour réaliser des tentatives de phishing sophistiquées et personnalisées, ce qui pourrait tromper la vigilance des victimes. Les pirates peuvent également utiliser les informations dérobées pour usurper leur identité ou réaliser des prêts en leur nom. La prudence est donc de mise, comme toujours après ce genre de piratage !