Cyberattaque France Travail : état des lieux au 14 mars 2024
Ce 13 mars, France Travail a indiqué avoir été victime d’une cyberattaque à l’occasion de laquelle les données personnelles de 43 millions de personnes pourraient avoir été exfiltrées. Deux comptes de collaborateurs de l’institution ont été compromis et utilisés dans ce cadre.
« Potentiellement, les données personnelles de 43 millions de personnes » sont susceptibles d’avoir été « exfiltrées ». C’est la phrase choc du communiqué de presse dans lequel France Emploi annonce, ce mercredi 13 mars 2024, avoir été victime d’une cyberattaque.
Selon ce communiqué, une base de données « aurait été extraite de façon illicite », contenant « les données personnelles d’identification des personnes actuellement inscrites, des personnes précédemment inscrites au cours des 20 dernières années ainsi que des personnes non inscrites sur la liste des demandeurs d’emploi, mais ayant un espace candidat sur francetravail.fr ».
Que s’est-il passé ?
Les mots de passe et les coordonnées bancaires ne sont pas concernés. Le sont en revanche les « nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone ».
Sur son site Web, Cybermalveillance.gouv.fr indique que l’intrusion a duré du 6 février au 5 mars 2024. Dans un courriel adressé à la rédaction, la direction générale de France Travail indique que ses équipes « ont constaté des requêtes suspectes sur notre SI à des heures inhabituelles (soir et week-end) rattachées à des comptes de conseillers Cap Emploi ».
Les accès concernés ont été immédiatement coupés. Les conseillers concernés ont été contactés et « ont affirmé ne pas être à l’origine de ces requêtes ». Le détournement de compte a été établi « pour deux conseillers Cap Emploi », mais « des analyses sur d’autres cas sont en cours ».
Des accès trop larges ?
Si elle peut surprendre, la conservation de données personnelles sur une période de 20 ans a des fondements légitimes, pour la reconstitution de carrières ou la lutte contre la fraude aux prestations sociales, en particulier.
Mais que deux comptes de conseillers ouvrent la porte aux données personnelles de 43 millions de personnes soulève néanmoins de nombreuses questions sur la gestion des accès et des privilèges. Yann Gaudin, ancien conseiller de celui qui est devenu France Travail, à savoir Pôle Emploi, l’assure d’ailleurs : « quand j’étais conseiller Pôle Emploi, si quelqu’un avait pris connaissance de mes identifiants de connexion à l’intranet de Pôle Emploi, il aurait pu aussi, de son canapé, voler toutes les données personnelles de 43 millions de Français, dont des personnalités politiques, des vedettes du showbiz, des sportifs professionnels, des journalistes, etc. ».
Des identifiants volés via… infostealer ?
Les données d’Onyphe, spécialiste de la gestion de la surface d’attaque exposée, font notamment ressortir des systèmes Ivanti Pulse Secure permettant d’accéder à distance à des ressources du système d’information de France Travail, via un simple navigateur Web.
De là à imaginer que des conseillers utilisent ces accès distants à partir d’ordinateurs domestiques vulnérables à des infections par maliciels dérobeurs, des infostealers, il n’y a qu’un pas qu’il est plus que tentant de franchir, dans le contexte actuel de cette menace. Plus de 40 millions d’identifiants ont été volés ainsi en 2023, en France.
Et justement, Hudson Rock et Recorded Future ont des traces d’identifiants compromis de la sorte pour des employés de France Travail et de Cap Emploi.