Piratage de France Travail: quid de vos dossiers?, Réactions à la publication du 14/03/2024

[Paul Emploi]

[MàJ par Philippe]

Trois jeunes dans la vingtaine viennent d'être arrêtés en France, ils n'auraient finalement exflitré "que" 1 à 1,5 millions de données d'identification personnelles, probablement pour les utiliser pour du hameçonnage ciblé.

L'attaque se révèle très "old-school", appelant en VoIP le support de Cap Emploi avec le numéro de téléphone forgé de techniciens réels et demandant la réinitialisation de leurs comptes pour s'en emparer.
Un problème de procédures d'identification au sein de Cap Emploi, probablement aussi un manque d'authentification par deux facteurs (2FA), ce qui associé à du télétravail a permis l'exploit.

On peut donc respirer un coup, les données ne semblent pas dans la nature, la police a fait rapidement son travail probablement assistée par des équipes spécialisées en cybercriminalité.

Une affaire qui se termine donc bien, mais qui démontre l'incurie des différents intervenants, que ça soit Cap Emploi mais aussi France Travail dont la responsabilité est de protéger nos données personnelles!

[Sujet initial]

France Travail a annoncé avoir été piraté entre le 5 février 2024 et le 6 mars de la même année, avec potentiellement 43 millions de Français touchés par le vol de certaines informations d'Identifications Personnelles, correspondant aux inscrits sous une forme ou une autre des 20 dernières années.

On ne connait pas le groupe ayant piraté France Travail, on sait seulement qu'ils ont usurpé l'identité d'un employé de Cap Emploi pour atteindre leurs buts.
L'attaque et la fuite de données ont été découvertes suite à des requêtes suspectes, France Travail a immédiatement informé la CNIL qui a produit son propre communiqué.

Le bon:
Les mots-de-passe ainsi que les coordonnées bancaires ne seraient pas concernés d'après France Travail. FT indique que "Il n’existe donc aucun risque sur l’indemnisation".


France Travail ne stocke évidemment aucun mot-de-passe, mais leurs hash (signatures), et celles-ci n'auraient pas fuité.
Néanmoins comme dans toute attaque sérieuse je recommande préventivement de changer son mot-de-passe pour un nouveau généré et stocké dans un gestionnaire de mot-de-passe.

Le mauvais:
Selon FT les informations d'Identification Personnelles concernées seraient "nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone."
Un beau fichier de 43 millions de personnes!

Le moche:
Le communiqué de France Travail n'évoque que les "données personnelles d’identification" et non l'ensemble des données dont ils disposent sur leurs inscrits sur ces 20 dernières années, l'historique, le ou les dossiers et autres documents afférents.
Le communiqué de la CNIL paraphrase celui de FT en changeant "données personnelles d’identification" pour "données personnelles", ce qui pourrait être une erreur ou pas...

Pour reprendre le communiqué de France Travail: "Les conséquences potentielles de cette affaire concernent les différentes formes d’hameçonnage (phishing), de tentatives d’escroqueries ou d’usurpation d’identité dont pourraient être victime les personnes concernées par cet incident. Cybermalveillance.gouv.fr recommande d’être particulièrement vigilant face à tout appel téléphonique ou message (mail, SMS) qui pourrait utiliser vos données personnelles compromises dans le but de vous rendre crédible une tentative d’escroquerie ou d’hameçonnage ciblée."

France Travail s'est contenté de communiquer sur les données d'information personnelle, respectant la loi à la lettre, le GDPR, sans élaborer sur les données personnelles dont historiques, dossiers ou documents divers et variés liés aux premières, ce qui laisse planer un doute sur l'ampleur de ce piratage touchant 43 millions de personnes et une vingtaine d'année!

Devant l'ampleur de cette fuite de données, concernant 43 millions de personnes et sur 20 ans on peut espérer qu'une commission d'enquête soit créée pour faire toute la lumière sur les tenants et aboutissants de cette attaque et de ses conséquences.

Lien vers le billet original

[christophe21]

C'est effectivement la CNAV qui s'occupe des retraites en France, mais quand on fait son dossier retraite et qu'il manque des documents provenant de nos périodes de chômage, malgré qu'il est indiqué que l'on doit les garder, bon nombre de gens se retrouvent avec des documents manquants, et ils doivent alors les demander à Pôle Emploi, la CNAV ne leur demande pas directement ! Et oui, c'est pour cela que les documents sont stockés pendant 20 ans ! Sans oublier que parfois, sur certains dossiers, ça ne communique pas entre la CNAV et la complémentaire.

J'ai pu en discuter cette semaine avec ma voisine qui travaille à Pôle Emploi. Elle m'a dit que pour le nouveau logo, ils l'ont fait faire en interne, pas comme pour le précédent qui avait coûté bien cher. Pour les renseignements interceptés, au niveau du numéro de sécurité sociale, ils n'ont accès qu'aux 3 premiers chiffres, le reste est constitué de xxxxx, comme pour les cartes bancaires après paiement sur certains sites. Pour le reste, il faut rester vigilant sur les mails ou sms que l'on pourra peut-être recevoir, et pour ceux qui sont encore inscrits, il faudra changer les mots de passe, tout comme il a fallu le faire pour ceux qui ont été concernés par le piratage des mutuelles.

Lorsqu'il a été question de fusionner avec Cap Emploi, Pôle Emploi a bien prévenu que cet organisme ne semblait pas être à jour au niveau des protections contre le piratage de données, mais il n'en a pas été tenu compte par l'Etat lui-même semble-t-il, et à présent voici le résultat ! Mais venant de cette administrations tellement catastrophique qui semble rassembler beaucoup d'amateurs, je ne suis plus étonné de quoi que ce soit. Je suis d'accord que depuis longtemps ils ont touché le fond, mais comme ils sont persévérants, ils continuent de creuser ! Et là, on ne sait pas où cela va nous mener.