Piratage de France Travail: quid de vos dossiers?, Réactions à la publication du 14/03/2024

[Paul Emploi]

[MàJ par Philippe]

Trois jeunes dans la vingtaine viennent d'être arrêtés en France, ils n'auraient finalement exflitré "que" 1 à 1,5 millions de données d'identification personnelles, probablement pour les utiliser pour du hameçonnage ciblé.

L'attaque se révèle très "old-school", appelant en VoIP le support de Cap Emploi avec le numéro de téléphone forgé de techniciens réels et demandant la réinitialisation de leurs comptes pour s'en emparer.
Un problème de procédures d'identification au sein de Cap Emploi, probablement aussi un manque d'authentification par deux facteurs (2FA), ce qui associé à du télétravail a permis l'exploit.

On peut donc respirer un coup, les données ne semblent pas dans la nature, la police a fait rapidement son travail probablement assistée par des équipes spécialisées en cybercriminalité.

Une affaire qui se termine donc bien, mais qui démontre l'incurie des différents intervenants, que ça soit Cap Emploi mais aussi France Travail dont la responsabilité est de protéger nos données personnelles!

[Sujet initial]

France Travail a annoncé avoir été piraté entre le 5 février 2024 et le 6 mars de la même année, avec potentiellement 43 millions de Français touchés par le vol de certaines informations d'Identifications Personnelles, correspondant aux inscrits sous une forme ou une autre des 20 dernières années.

On ne connait pas le groupe ayant piraté France Travail, on sait seulement qu'ils ont usurpé l'identité d'un employé de Cap Emploi pour atteindre leurs buts.
L'attaque et la fuite de données ont été découvertes suite à des requêtes suspectes, France Travail a immédiatement informé la CNIL qui a produit son propre communiqué.

Le bon:
Les mots-de-passe ainsi que les coordonnées bancaires ne seraient pas concernés d'après France Travail. FT indique que "Il n’existe donc aucun risque sur l’indemnisation".


France Travail ne stocke évidemment aucun mot-de-passe, mais leurs hash (signatures), et celles-ci n'auraient pas fuité.
Néanmoins comme dans toute attaque sérieuse je recommande préventivement de changer son mot-de-passe pour un nouveau généré et stocké dans un gestionnaire de mot-de-passe.

Le mauvais:
Selon FT les informations d'Identification Personnelles concernées seraient "nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone."
Un beau fichier de 43 millions de personnes!

Le moche:
Le communiqué de France Travail n'évoque que les "données personnelles d’identification" et non l'ensemble des données dont ils disposent sur leurs inscrits sur ces 20 dernières années, l'historique, le ou les dossiers et autres documents afférents.
Le communiqué de la CNIL paraphrase celui de FT en changeant "données personnelles d’identification" pour "données personnelles", ce qui pourrait être une erreur ou pas...

Pour reprendre le communiqué de France Travail: "Les conséquences potentielles de cette affaire concernent les différentes formes d’hameçonnage (phishing), de tentatives d’escroqueries ou d’usurpation d’identité dont pourraient être victime les personnes concernées par cet incident. Cybermalveillance.gouv.fr recommande d’être particulièrement vigilant face à tout appel téléphonique ou message (mail, SMS) qui pourrait utiliser vos données personnelles compromises dans le but de vous rendre crédible une tentative d’escroquerie ou d’hameçonnage ciblée."

France Travail s'est contenté de communiquer sur les données d'information personnelle, respectant la loi à la lettre, le GDPR, sans élaborer sur les données personnelles dont historiques, dossiers ou documents divers et variés liés aux premières, ce qui laisse planer un doute sur l'ampleur de ce piratage touchant 43 millions de personnes et une vingtaine d'année!

Devant l'ampleur de cette fuite de données, concernant 43 millions de personnes et sur 20 ans on peut espérer qu'une commission d'enquête soit créée pour faire toute la lumière sur les tenants et aboutissants de cette attaque et de ses conséquences.

Lien vers le billet original

[Fars]

Comment est il possible et autorisé de stocker des données de 20 ans?!

[Paul Emploi]

Comment est il possible et autorisé de stocker des données de 20 ans?!

C'est une des nombreuses questions en suspens, et ça mérite un audit indépendant de cette attaque et des données exfiltrées ainsi qu'une commission d'enquête pour faire toute la lumière sur cette affaire.

L'échelle en est incroyable, et ce qui n'est pas écrit dans le communiqué de France Travail me rend encore plus soucieux.
Les malveillants sont restés un mois entier dans les systèmes de FT, quand les données censément capturées ne prennent que quelques minutes pour cela dans le pire des cas. Qu'ont-ils vraiment sorti des systèmes et qui d'ailleurs gère ces systèmes et leur sécurité?

[Anibé]

Sans compter qu'avec le (précédent) piratage des données des mutuelles complémentaires, "on" peut s'amuser à croiser les fichiers et en tirer des informations supplémentaires… Il va y avoir de l'usurpation d'identité, c'était déjà un problème depuis quelque temps, mais là on atteint des sommets.
Cela dit : "Pourquoi des données aussi anciennes restent-elles dans les archives ?" Ça peut (peut-être) avoir un rapport avec les données pour le calcul des retraites…
On ne se posait pas la question des archives avant que tout soit informatisé, mais l'archivage papier était (paradoxalement ?) plus sûr !!!
Disons que quelqu'un qui récupère un carton de paperasse va avoir éventuellement quelques dossiers ou quelques dizaines de dossiers, tandis que quelqu'un qui casse un mdp va avoir TOUT le bazar !!!

PS : J'ai découvert aujourd'hui (en lisant les infos à ce sujet sur "franceinfotv") l'existence de quelque chose qui s'appelle "Cap emploi"… Selon toute probabilité, et sauf si quelqu'un me contredit, il est probable que ce soit précisément l'officine…

qui d'ailleurs gère ces systèmes et leur sécurité?

Non ?

Ce message a été modifié par Anibé - 14 Mar 2024, 23:40.

[Paul Emploi]

Non, ça n'est pas Cap Emploi, qui fait de l'accompagnement spécialisé pour la recherche d'emploi.

Que ça soit sur ceux qui gèrent leur sécurité, ou ceux qui sont probablement intervenu en renfort pour analyser l'attaque, je n'ai pour l'instant pas d'information.

[Sardequin]

Cap Emploi accompagne les personnes en situation de handicap dans les recherches d'emploi, guide les employeurs aussi pour les dispositifs d'aide à l'emploi des personnes en situation de handicap (j'ai bossé pendant presque 40 ans dans le domaine du Handicap et Cap emploi était un interlocuteur des structures d'aides aux personnes handicapées.

[g4hd]

Je suis plus inquiet du débordement de ces piratages vers TOUTE l'administration française…
Un site qui devient incontournable : Service Public.fr

[Patounet1]

C'est une des nombreuses questions en suspens, et ça mérite un audit indépendant de cette attaque et des données exfiltrées ainsi qu'une commission d'enquête pour faire toute la lumière sur cette affaire.

une commission d'enquête : pour noyer le poisson ? Encore une fois il n'y aura pas suites, tout au plus un lampiste sera désigné !

[Fars]

Quelle bande de salopards…..

[Oncle Sophocle]

Quelle bande de salopards…..

Et en face, quelle bande de pieds nickelés

[Fars]

Quelle bande de salopards…..

Et en face, quelle bande de pieds nickelés

Je parlais pas des pirates… je parlais de nos énarques de l’administration française.
Les pirates, eux, sont dans leur rôle.

[g4hd]

Je parlais pas des pirates… je parlais de nos énarques de l’administration française.
Les pirates, eux, sont dans leur rôle.

subversif ?
si tu permets !

[simon]

Cela n'est pas la première fois que cela arrive avec cette administration qui a l'air de prendre très à la légère les problèmes de sécurité informatique, et qui par ailleurs a courramment recours à Your Tube, obligeant les utilisateurs a accepter les conditions générales de cette entreprise américaine.

Fin août 2023, j'ai reçu le courrier suivant de Pole Emploi (sans aucune précision concernant le nombre de personnes touchées, l'entreprise concernée etc) :

Suite à un acte de cyber malveillance dont l'un de nos prestataires a été victime, des informations personnelles vous concernant sont susceptibles d'être divulguées. Vos nom et prénom, votre statut actuel ou ancien de demandeur d'emploi ainsi que votre numéro de sécurité sociale pourraient être concernés. Vos adresses e-mail, numéros de téléphone, mots de passe et coordonnées bancaires ne sont en revanche pas concernés…

Si vous souhaitez plus de précisions, nous vous invitons à contacter le 3949.

Conformément à ses obligations au titre du Règlement général sur la protection des données (RGPD), Pôle emploi a procédé à une notification auprès de la Commission Nationale de l'Informatique et des Libertés (CNIL).

Nous sommes sincèrement désolés pour cet incident que nous déplorons.

Cordialement,
Pôle emploi

Ce message a été modifié par simon - 15 Mar 2024, 16:30.

[Jaguar]

Quelle bande de salopards…..

Et en face, quelle bande de pieds nickelés

Je parlais pas des pirates… je parlais de nos énarques de l’administration française.
Les pirates, eux, sont dans leur rôle.

"les salopards d'énarques de l’administration française" n'ont rien à voir avec ça mais juste Pôle Emploi fait avec 0 moyen parce que les salopards de politiques démagogiques leur ont raboté tous leurs budgets depuis 15 ans parce que c'est le choix des salopards d'électeurs comme moi... et peut-être comme toi...

Il y a une dizaine d'années, je discutais avec un informaticien de Pôle Emploi qui m'expliquait qu'ils en étaient arrivé à réduire la taille des champs dans des formulaires car ils ne pouvaient plus se payer les disques dans les serveurs pour les stocker !

Ce message a été modifié par Jaguar - 15 Mar 2024, 17:28.

[CAMEO172]

Il y a une dizaine d'années, je discutais avec un informaticien de Pôle Emploi qui m'expliquait qu'ils en étaient arrivé à réduire la taille des champs dans des formulaires car ils ne pouvaient plus se payer les disques dans les serveurs pour les stocker !

c'est donc ça !!!
ça explique pourquoi Zezette épouse X ça dépasse !

[canaan]

J'aimerai aussi savoir combien a coûté le changement de nom ("renaming" en volapuk de pubeux...) de Pôle Emploi (spéciale dédicace...) à France Travail au relent très vichyste (sans même parler du "STO" en échange des indemnités chômage et du RSA)... Entre ça, le stockage des données au long cours et le rabottage (sabotage ?) des droits des chômeurs : envie de vomir. Au mieux.

[christophe21]

Depuis le temps que cette administration a changé de nom : ANPE --> Pöle Emploi --> France Travail, j'ai pensé la même chose ; combien ça coûte à chaque fois.

Et ils n'ont peut-être pas les moyens, mais pour les Mutuelles qui sont privées et qui ont plus de moyens, vu leurs bénéfices pour les actionnaires, il leur arrive la même chose, je pense que la sécurité de nos données, ça leur passe un peu au-dessus, 2 organismes en peu de temps, c'est vraiment de la négligence au niveau du pays, j'ai l'impression qu'on rentre sur tous nos serveurs comme on veut, en plus avec les cyber attaques de la Russie, ils doivent s'en donner à cœur joie, car ça brasse beaucoup d'air au plus haut niveau.

Depuis de nombreuses années on nous alerte sur les dangers, alors quand on voit le résultat ! Et je pense aussi qu'on doit nous cacher l'ampleur du piratage. On risque d'avoir des gros soucis avec les JO si tout le monde peut rentrer dans les systèmes informatiques. Nous avons intérêt à rester vigilants sur nos ordinateurs, et vérifier régulièrement nos comptes, etc., changer nos mots de passe.

Je ne comprends pas non plus que l'on puisse garder des données pendant 20 ans chez cet organisme, ce sont les caisses de retraite et les complémentaires qui s'en occupent. Et tout cela je suppose sans notre consentement.

Ce message a été modifié par christophe21 - 17 Mar 2024, 20:51.

[zeff]

J'aimerai aussi savoir combien a coûté le changement de nom ("renaming" en volapuk de pubeux...) de Pôle Emploi (spéciale dédicace...) à France Travail au relent très vichyste (sans même parler du "STO" en échange des indemnités chômage et du RSA)... Entre ça, le stockage des données au long cours et le rabottage (sabotage ?) des droits des chômeurs : envie de vomir. Au mieux.

Changement d'identité graphique, réimpression (pour les document papier) etc...
Bonjour la facture!
En même temps, coup de rabot et chasse aux chômeurs.

Ce message a été modifié par zeff - 17 Mar 2024, 22:00.

[joe75]

Comment est il possible et autorisé de stocker des données de 20 ans?!

J'espère bien que c'est autorisé
Par exemple, dans le cadre des contrats et fiches de paies passées...Ca ne me dérange pas au contraire si l'administration conserve ces documents et leur trace...

[DOMY]

Comment est il possible et autorisé de stocker des données de 20 ans?!

Pour les calculs de ta retraite ...

[Paul Emploi]

France Travail ne supervise ni ne gère l'Assurance Retraite, c'est le rôle de la CNAV.
Ces données sont régulièrement envoyées par France Travail au gestionnaire des données pour les retraites.

Il n'y a aucune raison valable pour que France Travail stocke, expose et donne total accès à Cap emploi sur 20 ans d'historique et 43 millions de comptes.

Il y a là plusieurs malfaçons, auxquelles s'ajoutent la durée de l'intrusion, l'absence d'alertes ou leur non prise en compte, l'absence de log et pour finir l'absence d'audit de sécurité sérieux, que ça soit chez France Travail ou Cap Emploi.
Cap Emploi ayant en sus des procédures de sécurité absentes ou erronées, qui auraient du amener FT à leur refuser l'accès aux données, sans compter les restrictions d'accès inexistantes!

Essentiellement c'est open-bar, et ça n'a été découvert que par maladresse des pirates en herbe qui ont fait des requêtes douteuses.
Face à des gangs spécialisés, Russes ou Chinois, tout serait sorti les doigts dans le nez et jamais découvert, c'est d'ailleurs peut-être arrivé sans que personne ne s'en doute...

[chianti's yogurt]

Il suffit de s'intéresser aux marchés public et notamment les CCTP (cahier des charges techniques), beaucoup d'administrations vous font un laïus sur la sécurité et la performance et imposent... WordPress !

Ce message a été modifié par chianti's yogurt - 22 Mar 2024, 10:18.

[Fars]

La décadence de l'administration nationale....
J'aurai bien dit, on touche le fond, mais quelque chose me dit que non, malheureusement....

[Anibé]

Proverbe gitan : "Quand tu arrives au fond du trou, arrête de creuser !"

[christophe21]

C'est effectivement la CNAV qui s'occupe des retraites en France, mais quand on fait son dossier retraite et qu'il manque des documents provenant de nos périodes de chômage, malgré qu'il est indiqué que l'on doit les garder, bon nombre de gens se retrouvent avec des documents manquants, et ils doivent alors les demander à Pôle Emploi, la CNAV ne leur demande pas directement ! Et oui, c'est pour cela que les documents sont stockés pendant 20 ans ! Sans oublier que parfois, sur certains dossiers, ça ne communique pas entre la CNAV et la complémentaire.

J'ai pu en discuter cette semaine avec ma voisine qui travaille à Pôle Emploi. Elle m'a dit que pour le nouveau logo, ils l'ont fait faire en interne, pas comme pour le précédent qui avait coûté bien cher. Pour les renseignements interceptés, au niveau du numéro de sécurité sociale, ils n'ont accès qu'aux 3 premiers chiffres, le reste est constitué de xxxxx, comme pour les cartes bancaires après paiement sur certains sites. Pour le reste, il faut rester vigilant sur les mails ou sms que l'on pourra peut-être recevoir, et pour ceux qui sont encore inscrits, il faudra changer les mots de passe, tout comme il a fallu le faire pour ceux qui ont été concernés par le piratage des mutuelles.

Lorsqu'il a été question de fusionner avec Cap Emploi, Pôle Emploi a bien prévenu que cet organisme ne semblait pas être à jour au niveau des protections contre le piratage de données, mais il n'en a pas été tenu compte par l'Etat lui-même semble-t-il, et à présent voici le résultat ! Mais venant de cette administrations tellement catastrophique qui semble rassembler beaucoup d'amateurs, je ne suis plus étonné de quoi que ce soit. Je suis d'accord que depuis longtemps ils ont touché le fond, mais comme ils sont persévérants, ils continuent de creuser ! Et là, on ne sait pas où cela va nous mener.