Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

France Travail piraté, les données de 43 millions de personnes « potentiellement » dérobées

Le pompon

France Travail piraté, les données de 43 millions de personnes « potentiellement » dérobées

France Travail dit avoir été victime d’une cyberattaque s’étant déroulée entre le 6 février et le 5 mars. Elle a conduit à « l’exfiltration de données personnelles ». C’est bien l’intégralité de la base qui pourrait avoir été concernée, puisque l’agence évoque « potentiellement » 43 millions de personnes concernées.

« Suite à une cyberattaque dont nous avons été victimes avec Cap emploi, des informations personnelles vous concernant sont susceptibles d’être divulguées. Vos informations bancaires ne sont pas concernées. Nous sommes désolés de cet incident et nous vous invitons à rester vigilants », prévient le site officiel dans un encadré rouge. « Il n’existe donc aucun risque pour l’indemnisation », s’empresse de préciser France Travail dans son communiqué.

« Potentiellement » 43 millions de personnes

Pourraient être concernées toutes les personnes « inscrites au cours des 20 dernières années ainsi que les personnes non inscrites sur la liste des demandeurs d'emploi mais ayant un espace candidat sur francetravail.fr ». En d’autres termes, c’est l’intégralité de la base qui pourrait avoir été exposée. « C'est donc potentiellement les données personnelles de 43 millions de personnes qui ont été exfiltrées », ajoute France Travail.

Nom, prénom, numéro de Sécurité sociale, date de naissance, identifiant France Travail, adresses mail et postales et numéros de téléphone ont été exposés et se retrouvent donc dans la nature. Les mots de passe et les coordonnées bancaires ne sont pas concernés.

France Travail dit avoir notifié la CNIL et porte plainte auprès des autorités judiciaires. La section J3 du Parquet de Paris a ouvert une enquête préliminaire. Elle a été confiée à la Brigade de Lutte Contre la Cybercriminalité (BL2C) de la Direction de la Police Judiciaire de Paris. Celle-ci a d’ailleurs mis en ligne un formulaire simplifié permettant aux personnes concernées de déposer plainte.

Quels risques ?

Les risques sont malheureusement les mêmes qu’habituellement dans ce genre de cas. Les coordonnées peuvent entrainer des campagnes de phishing plus ou moins précises.

« Cybermalveillance.gouv.fr recommande d’être particulièrement vigilant face à tout appel téléphonique ou message (mail, SMS) qui pourrait utiliser vos données personnelles compromises dans le but de vous rendre crédible une tentative d’escroquerie ou d’hameçonnage ciblée », peut-on lire sur une page dédiée de Cybermalveillance.fr.

À l’AFP, France Travail dit avoir remarqué initialement des « requêtes suspectes » et une « usurpation d'identité de conseillers Cap emploi », souligne Le Figaro. Attention donc à ce deuxième point. Un dispositif téléphonique va être mis en place via la plateforme téléphonique 3949 « dans les prochaines heures ».

Par l’ampleur et le type d’information, cette cyberattaque rappelle malheureusement les récentes – et énormes, avec la moitié des français concernés – fuites chez Viamedis et Almerys, prestataires du tiers payant. Le numéro de Sécurité sociale étant une nouvelle fois concerné, il est recommandé une prudence particulière, car il peut servir de porte d’entrée dans de nombreux services.

Comme nous l’indiquions le mois dernier, il peut permettre la création d’un compte Ameli pour une personne qui ne l’aurait pas déjà. Là aussi, le Parquet a ouvert une enquête et un formulaire pour déposer simplement une plainte a été mis en ligne.

Semaine chargée pour l’État : une attaque DDoS il y a quelques jours

Nous ne sommes que mercredi et l’actualité est déjà bien chargée. En début de semaine, le groupe de pirates Anonymous Sudan faisait parler de lui, suite à une attaque DDoS contre des institutions françaises.

Ce groupe n’est pas nouveau, l’ANSSI en parlait dans son panorama de la cybermenace 2023. L’Agence expliquait que, en août 2023, il avait « menacé la France de représailles en cas d’intervention contre le putsch au Niger, avant de réorienter son ciblage contre des entités israéliennes suite à l’offensive militaire dans la bande de Gaza ». La société spécialisée dans la cybersécurité Sekoia y va aussi de son analyse, précisant qu’il s’agit d’un « sous-groupe des hacktivistes pro-russes Killnet ».

En début de semaine, les pirates revendiquaient ainsi une cyberattaque contre plusieurs services de l’État. Elle était décrite comme d’une « intensité inédite », selon le gouvernement cité par l’AFP. Les autorités ajoutaient que l’impact « a été réduit » et l’accès aux sites « rétabli ». De quoi se vanter d’une victoire ? Oui, mais…

Une « tempête dans un verre d’eau » ?

Si une cyberattaque a bien eu lieu, son intensité n’était visiblement pas si importante et les conséquences plutôt limitées. Pour Le MagIT, il s’agit plutôt d’une « tempête dans un verre d’eau ». Nos confrères rappellent que les cyberattaques de type DDoS sont monnaie courante. « Mais entre contexte géopolitique et politique domestique, si Matignon a choisi de communiquer sur cet incident, c’est que les services du Premier ministre y trouvaient leur intérêt ».

Même son de cloche chez Gabriel Thierry, spécialiste du cybercrime : « Drôle de communication de Matignon qui a dramatisé une grosse mais banale campagne de DDoS sous l'appellation de cyberattaques d’une "intensité inédite" ».

« On notera également que s'attaquer au RIE (Réseau interministériel de l'État) est particulièrement stupide, sauf s'il s'agit uniquement de faire le buzz. En effet, si vous vous attaquez au point le plus protégé de votre adversaire, ne vous étonnez pas de tomber sur un mur », ajoute-t-il. Bref, « beaucoup de bruit pour rien » comme dirait William Shakespeare.

Commentaires (66)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
43 millions de comptes dans la nature????

Vraiment des incompétents...
Y'en a vraiment marre de toutes ces fuites via les services de l'État.
votre avatar
Ce n'est pas de l'incompétence, bien au contraire : la casse du service public est une volonté politique affichée, et mise en place depuis des décennies. Elle est effectuée avec un certain brio, par des gens très compétents en la matière.

Avec toujours moins de budget, ce genre de cas sera toujours plus fréquent à l'avenir. Mais à la limite, ce n'est pas tellement les fuites de données qui me paraissent le plus grave dans tout ça 😒
votre avatar
en l'occurrence, ici, il s'agit vraiment d'incompétence, il n'y a pas de volonté. S'il y avait une réelle volonté de "casser du service public", comment tu expliques qu'il y ait toujours plus de fonctionnaires ? Se pose la question de ce que font tous ces fonctionnaires... oui, là c'est une vraie question.
Sécuriser une base de données, ce n'est pas forcément très compliqué, mais ça nécessite quand-même un minimum de compétences et peut-être d'expérience. Quand on copine avec des grosses boîtes de conseil qui facturent très cher les prestations des juniors sortis d'école payés au lance-pierre, forcément, à un moment, ça se voit...

Chiffres : +5% de fonctionnaires sur les 3 fonctions publiques de 2011 à 2021, dans le même temps la population a augmenté de 4% - chiffres fournis par le service public et par l'INSEE.
votre avatar
comment tu expliques qu'il y ait toujours plus de fonctionnaires
La part de la fonction publique dans l'emploi total a diminué sur la période que tu cite. Comparer le nombre de fonctionnaires à la population totale n'a pas de sens, surtout avec une population vieillissante et un ratio actifs/non-actifs qui diminue.

Mais surtout, la fonction publique ne se limite absolument pas au nombre de fonctionnaires. Tu peux embaucher autant d'infirmières que tu veux, si ton nombre de lits diminue, ça ne sert à rien ...
en l'occurrence, ici, il s'agit vraiment d'incompétence, il n'y a pas de volonté
Le PLFSS (qui englobe d'assurance chômage donc) de 2024 est passé avec un 49.3. Sécuriser une base de données c'est une chose, croire qu'on arrivera à maintenir un bon niveau de sécurité ad vitam eternam avec des budgets en baisse constante, c'est sacrément « bisounours » comme ils disent ...
votre avatar
j'ai bien peur que la manière dont le PLFSS est adopté n'a aucun effet sur la façon dont la sécurité informatique sera géré, ce n'est pas parce-que les députés ont discuté pendant des heures de la position de la virgule dans tel ou tel article que, par magie, une administration quelconque va se rendre compte de l'importance de ces sujets.

Tout ça pour dire : tu soulèves un vrai point, il y a d'énormes problèmes d'organisation dans la fonction publique (je t'épargne les comparaisons internationales, la France n'est pas fondamentalement bien placée sur ces points), mais je pense qu'il n'a rien à voir avec le sujet ici :chinois:
votre avatar
Dis-toi que ça aurait pu être pire, ça aurait pu être Bercy. Là, pour le coup, il y a l'intégralité des informations bancaires, des flux de trésorerie des entreprises... et plein d'autres infos croustillantes !
votre avatar
Ce n'est qu'une question de temps. :fumer:
Pour le coup si Bercy ne communique pas ça sera joli.
votre avatar
Principe des failles et fuites de données: tu ne sais pas qui a été piraté.
Là ils l'ont vu (et assez tard, vu la durée).
Mais pleins d'autres ont été piratés et n'ont rien vu/dit (j'ai un GROS doute sur une banque dernièrement: ils ont invalidé mon mot de passe - à la connexion ils m'ont renvoyé une procédure par la poste - en attendant, j'ai reçu du phishing SYNCHRONISE avec cette demande de connexion, sachant que je vais sur le site moins d'une fois par an).
votre avatar
Et à côté de ça, on va condamner Mme Michu pour défaut de sécurisation de la connexion wi-fi et le DL de quelques musiques.
Qu'ils commencent par avoir une vraie sécurité dans leurs ministères ou leurs administrations avant de taper sur les petites gens pour des broutilles.
votre avatar
Un truc à savoir avant de taper sur les fonctionnaires : tout le SI central de chaque ministère est géré par des contractuels privés (le support local est encore géré par des fonctionnaires sous-payés). Même le MIOM fait gérer ses différents AD par des intervenants externes.

L'état n'ai pour ainsi dire quasiment aucune compétence en interne.
votre avatar
La question n'est pas de taper sur les fonctionnaires, mais sur les décideurs qui apparemment ont choisi des prestataires en mousse... La faute peut-être à la diminution des budget qui font qu'on va au moins disant financier...
votre avatar
Ce n'est pas si facile d'être un prestataire pour l'Etat. Il y a nombre de règles à respecter, et des contraintes à accepter en plus des difficultés liées au fait que l'AMOA étatique est de plus en plus faible.
Et de l'autre coté, les privés se gavent bien comme il faut, en rendant un travail en deçà des attentes.

Rajoute à cela que dans le monde de la sécurité informatique, les profils compétents sont disputés sur le marché du travail. Même si les salaires sont parfois intéressants dans le secteur public, aujourd'hui il est tout de même complexe de rivaliser avec les packages privés. Pas de mutuelle, pas d'avantages en nature type comité d'entreprise, pas d’intéressement/participation/... (logique), pas de voiture de fonction (je l'ai vu même dans des petites structures, ça!), télétravail qui peine à être accepté/mis en place, etc...
votre avatar
C'est peut-être plus complexe. Selon l'administration et le poste, il peut être plus avantageux d'être en CDD que d'être fonctionnaire. Sans compter les problèmes de concours, nomination, ...
Pour les fonctionnaires sous-payés: ils sont sous-payés à paris, les ministères n'ont qu'à délocaliser en province où le salaire d'un fonctionnaire est plus acceptable.
votre avatar
Je te confirme, un contractuel en CDI surtout dans ces métiers en tension (donc pas besoin de monétiser la sécurité de l'emploi), c'est autrement plus intéressant financièrement que être titulaire.
votre avatar
Au vu des dates, on pourrait penser que ce soit lié à la migration vers le """""""nouveau""""""" site (pole-emploi.fr -> francetravail.fr )
...

Et à l'arrivée les usagers sont encore victimes et impuissants face à l'incompétence des services publics/prestas liés aux services publics...
votre avatar
Bon, je dois être encore dans la fuite de données 🤬🤬🤬🤬
votre avatar
:tchintchin: Me too.
votre avatar
Cette fois, je suis à peu près certain de ne pas y échapper.
votre avatar
Pas mieux ...

Merci qui ?
votre avatar
Jacquie et Michel ?



Je ne connais pas encore tous les nouveau ministres....
:oops:
votre avatar
En quelque sorte ... 🤣
votre avatar
Idem.. bon bah demain je me trouve un bon gestionnaire de MDP et je fais le tour de tous les services qui utilisent mon adresse mail pro..
Pour mon adresse postale elle change bientôt mais pour nom prénom n° de sécu ça va être compliqué j'suis pas trop d'humeur a changer de genre 😅
votre avatar
Même moi qui n'a jamais pointé là-bas, je pense être dedans parce que les employeurs envoient des données lorsque tu quittes une entreprise. info ici
votre avatar
Idem :-(
votre avatar
Pendant ce temps là à France Travail, un conseiller à une personne lambda:

"Le "cybersécurité" ? C'est quoi ? Vous voulez pas plutôt prendre cette offre raisonnable en usine à mi temps CDD deux semaines ?"
votre avatar
Celle-ci a d’ailleurs mis en ligne un formulaire simplifié permettant aux personnes concernées de déposer plainte.
Est-il conseillé de porter plainte ? C'est uniquement préventif, dans le cas où quelqu'un utiliserait nos données ? Ou bien il y a un réel intérêt immédiat ?
votre avatar
Je me suis posé la même question. Sur quoi pourrait bien déboucher une telle plainte ?
votre avatar
Il y a eu la même procédure pour le piratage de Viamedis et Almerys.

Cela ressemble surtout à un exutoire enregistrant les résultats dans /dev/null (où l'on retrouve aussi les doléances du grand débat et des agriculteurs).

Plus sérieusement, cela va encore être de belles paroles pour un résultat aussi convaincant que le grand débat.

Le principe du punchingball appliqué à l'administration. Manque plus que le N° Vert.
votre avatar
Ça va servir à occuper des gens payés à être occupé, ne vous en faites pas pour ça et continuer le train-train, comme disait un génie : "Ça va bien se passer"
votre avatar
Quoique je puisse parfois (souvent) partager le cynisme de mes cofilaires, j'ai porté plainte pour le piratage des prestataires de santé et j'ai fait de même pour celui-ci.

Je n'en attends absolument rien, mais je tiens à avoir une trace officielle en cas d'usurpation d'identité, qui est l'un des risques associé à cette fuite de données.

Pour connaître une personne passée au bord de la folie après avoir été victime d'une usurpation, je ne souhaite à personne de se retrouver dans cette situation !
votre avatar
Nom, prénom, numéro de Sécurité sociale, date de naissance, identifiant France Travail, adresses mail et postales et numéros de téléphone ont été exposés et se retrouvent donc dans la nature.

:bravo:
votre avatar
Oui, pour le moment, ils sont en tête du concours avec 43 millions de personnes potentiellement touchées. Il va être difficile de faire mieux en France (54 millions de personnes majeures).

J'ai du mal à voir quel fichier plus gros peut fuiter.
votre avatar
Les impôts ou sécu avec les enfants et ayant droits maybe 🤔
votre avatar
Le fichier CNI ou il y-a nos empreintes digitales (entre autre) ?
votre avatar
J'aimerais bien savoir quelle est la justification de garder accessible facilement les données personnelles des demandeurs d'emploi aussi longtemps (jusqu'à 20 ans !) C'est un décret du 1er juin 2016 qui donne cette durée maximum.

Par contre une durée de ce type n'est pas conforme au RGPD article 25 qui dispose que :
Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s'applique à la quantité de données à caractère personnel collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée.
Il faut adapter la durée à chaque traitement et à chaque donnée en minimisant les risques.

Que l'on conserve longtemps certaines données, je le conçois, par exemple pour vérifier les droits à le retraite et ces données là doivent même être conservées plus que 20 ans si nécessaire (jusqu'au départ à la retraite).
Mais moi qui ne suis plus demandeur d'emploi depuis septembre 2017 et retraité depuis plus d'un an, il n'y a aucune raison de garder mes données accessibles à tous. Que ça soit accessible en cas de besoin sur désarchivage, pourquoi pas, mais que ça reste en ligne est en contradiction forte avec le RGPD qui a été publié fin avril 2016.

J'attends la confirmation par mail que mes données sont potentiellement concernées avant de leur demander des comptes puis de porter plainte à la CNIL pour non respect de cet article du RGPD.

En regardant à quoi correspond Cap Emploi (pour les personnes en situation de handicap), si l'information du Figaro est bonne et que la fuite vient bien d'une usurpation d'identité de conseillers Cap emploi, seuls les demandeurs d'emploi handicapés auraient dû être concernés par la fuite. Ils n'ont aucune raison d'accéder aux données des autres demandeurs d'emploi. C'est une autre violation probable du RGPD.
votre avatar
je ne suis pas retraité, mais j'ai été demandeur d'emploi entre 2005 et 2006. Du coup, je suis potentiellement dedans aussi. Par contre, si quelqu'un me contacte en se prévalant de mon numéro ANPE, ça va être rigolo !
votre avatar
si l'information du Figaro est bonne et que la fuite vient bien d'une usurpation d'identité de conseillers Cap emploi, seuls les demandeurs d'emploi handicapés auraient dû être concernés par la fuite
Même plus que ça, ils n'auraient dû avoir accès à aucun autre dossier que ceux dont ils s'occupent individuellement.

Un peu comme les médecins (est-ce encore le cas aujourd'hui ?) qui ont accès aux dossiers de tous les patients de France. Pendant la pandémie certains s'amusaient à regarder l'état de vaccination de Macron. Ce genre de problème de sécurité ce n'est pas vraiment une question de manque de personnel (sauf peut-être dans certains services spécifiques), c'est plutôt une question de culture de la sécurité, mais il est difficile d'en dire plus sans plus d'information.
S'il s'avère que n'importe quel conseiller Cap Emploi ou FT a accès à tous les dossiers, c'est de l'incompétence pure et simple et rajouter plus de monde n'aurait strictement rien changé.
votre avatar
" Un peu comme les médecins (est-ce encore le cas aujourd'hui ?) qui ont accès aux dossiers de tous les patients de France. "

Sauf, que potentiellement tous professionnels de santé peut-être amené à soigner quelqu'un.

Alors que pour pôle-emplois une archivage externalisé des données anciennes pourrait-être pertinent (avec accessibilité sur requête).
votre avatar
Merci pour cette remarque. Travaillant dans les SI, on est en permanence challengé par la CNIL pour la durée de conservation des données. Là ils ont pu conserver pendant 20 ans (c'est énorme) des données aussi critiques que Nom/prénom et numéro de SS. ça me tue franchement.
votre avatar
Ne faut-il pas conserver ces données pour les reconstitutions de carrière ? Il me semble qu'on a besoin des périodes de chômage indemnisées pour la retraite.
votre avatar
J'ai cité explicitement ces données comme devant être gardée jusqu'à la retraite donc plus de 20 ans potentiellement. Ce n'est pas pour autant qu'elles doivent être accessibles à trop de monde à tout moment.
votre avatar
Du coup, on revient sur la durée de 20 ans, fixée ici : legifrance.gouv.fr République Française pour les finalités décrite ici legifrance.gouv.fr République Française et legifrance.gouv.fr République Française

Ça ne rime à rien :
Pour une utilisation de type connexion à un portail, c'est trop long.
Pour une utilisation type retraite, c'est trop court.
Et pour les utilisations type stats et pilotage, l'anonymisation existe.

On dirait un truc fixé au doigt mouillé.

Même conserver des coordonnées vieilles de 20 ans ça ne rime à rien.
Je suis sur que l'on y trouve encore des adresses en caramail.fr
votre avatar
Ben perso, j'ai été inscrit à l'ANPE y a une vingtaine d'années (je ne sais plus exactement quand, ça pourrait être juste un peu plus vieux). or à l'époque j'avais une adresse yahoo.fr qui n'existe plus.

Si je suis concerné, je suis très curieux de savoir comment Ils vont me prévenir.

Effectivement, ça ne rime à rien.
Mais est-ce que ça surprend quelqu'un?
votre avatar
Par contre une durée de ce type n'est pas conforme au RGPD article 25 qui dispose que :
C'est plus compliqué que ça. Le RGPD ne vient pas remplacer la réglementation, elle vient en plus de la réglementation. Le RGPD impose juste de définir une durée de conservation (ou au moins le moyen de la déterminer) qui soit en corrélation à la réalisation du traitement, avec des exceptions pour à des fins archivistiques dans l'intérêt publique, la recherche publique, etc.

Si une durée est fixée par la réglementation, le responsable de traitement se doit de respecter cette durée (et la CNIL le rappelle sur son site), qu'importe si la durée semble disproportionnée.

Ici, la durée est fixée par le législateur. Le problème est donc au niveau du législateur, pas au niveau du responsable de traitement.
votre avatar
Le législateur l'exécutif (c'est un décret) a décidé d'une durée maximum de conservation. Il a mis une borne supérieure. Je maintiens qu'il y a possibilité de diminuer la durée de conservation en fonction du besoin réel. Encore faut-il se poser la question ce qui n'a pas dû être fait : le décret est paru un peu plus d'un mois après la publication du RGPD et personne n'a probablement pensé une fois le RGPD maîtrisé à vérifier que les traitements et les durées de rétention étaient minimisés.
votre avatar
Pardon, je n'étais pas allé voir le décret. C'est bien une durée maximum qui est précisée.

Autant je suis d'accord avec ton interprétation sur le fait que la question de la durée de la conservation aurait du se poser. Toutefois, je ne suis pas certains pour autant que cela soit opposable dans le cadre d'une procédure de sanction, la réglementation définissant explicitement une durée (même si elle n'est que maximum) car derrière un pas plus de 20 ans, se cache implicitement une "autorisation" de les conserver jusqu'à 20 ans...

Et après, il ne faut pas se leurrer non plus. Même en cas de sanction de la CNIL, cela reste un établissement public. Donc une sanction pécuniaire prononcé par la CNIL... revient à l'Etat !
votre avatar
Concernant la durée de 20 ans, elle répond à plusieurs finalités. France Travail en a évoqué une, à savoir la reconstitution de carrière.

Il en existe une autre, par ailleurs érigée au rang d'objectif de valeur constitutionnelle (cf. décision n°2019-789-DC, cons. 7), à savoir la lutte contre la fraude.

Pour laquelle le délai pour engager une action est de 10 ans. (article L.5422-5 du code du travail)

Avec possibilité de remonter sur les 20 dernières années, en application de l'article 2232 du code civil

Illustration ici dans un domaine proche, celui des prestations vieillesse / invalidité, qui a donné lieu à un arrêt de la Cour de Cassation l'année dernière.

En clair autant on peut questionner les modalités de conservation, autant partir bille en tête sur une durée excessive de conservation s'agissant ici d'une finalité érigée en objectif de valeur constitutionnelle, c'est moins évident.
votre avatar
Une sanction de la CNIL rappellerait opportunément leurs responsabilités de sécurité et de minimisation des accès aux données personnelles à tous les organismes qui ne se posent pas la question. De plus, une amende (qui doit être possible parce que ce n'est pas un traitement mis en œuvre par l'État ) diminuerait d'autant le budget de France Travail qui a une autonomie financière.

Et cela n'empêche pas de porter plainte devant les tribunaux pour mettre France Travail face à ses responsabilités vis-à-vis des demandeurs d'emploi. Il doit être possible de demander des dommages et intérêts en prouvant le dommage.

Sur la durée, le RGPD étant plus important dans la hiérarchie des normes qu'un décret parce qu'il est un texte résultant d'un traité, il n'y a aucune raison de considérer un maximum prévu dans le décret comme une durée qui permettrait de ne pas respecter le RGPD qui dit explicitement qu'il faut minimiser la durée de conservation choisie doit être nécessaire au traitement.
Et, il n'y a pas que la durée comme problème ici, il y a a priori le fait que l'accès aux données était trop large (la fuite semblant être causée par un compte de Cap Emploi). Le RGPD est aussi explicite là-dessus.
votre avatar
Plutôt d'accord dans l'ensemble avec ce que tu dis. Sauf ce passage
Sur la durée, le RGPD étant plus important dans la hiérarchie des normes qu'un décret parce qu'il est un texte résultant d'un traité, il n'y a aucune raison de considérer un maximum prévu dans le décret comme une durée qui permettrait de ne pas respecter le RGPD qui dit explicitement qu'il faut minimiser la durée de conservation choisie doit être nécessaire au traitement.
Alors oui, on est d'accord que le RGPD est plus important dans la hiérarchie des normes. Maintenant, le RGPD ne dit pas qu'il faut minimiser la durée de conservation. Le RGPD impose d'en définir une (soit directement, soit en pouvant la calculer) et ne va pas plus loin. Le reste, ce sont des dispositions réglementaires, légales, les délibérations de la CNIL, etc. qui permettent de donner une durée (mais pas le RGPD).

En l'absence de toute référence, c'est au RT de définir la durée de conservation. Mais si le RGPD n'impose pas de durée, il ne faut pas qu'elle soit disproportionnée vis-à-vis du traitement. Ce qui est hautement subjectif et largement soumis à interprétation. Et quand on a un texte (comme ici) donnant une limite maximum (20 ans), il me parait difficile de dire avec une certitude absolue que c'est disproportionnée, puisqu'un cadre réglementaire donne une échelle de temps.

Quant au caractère "supérieur" du RGPD, c'est toujours compliqué. Il suffit de regarder l'exemple de la conservation des logs de connexion. L'Europe et la France n'ont pas du tout la même interprétation, mettant dans une position largement inconfortable les entreprises qui pourront, quoi qu'elles fassent, se faire attaquer soit devant la justice française, soit la justice européenne (avec les frais et l'énergie que cela demande, bien évidement).

Et si le RGPD imposait vraiment la minimisation de la durée de conservation, alors je pourrais dès aujourd'hui supprimer toutes les données relatives à mes ex-employés (je n'ai plus de traitement en cours avec eux, le solde de tout compte étant fait depuis belle lurette). Pourtant, si je le fais, je risque de me prendre une amende plutôt salée.

Par contre, sur l'accessibilité des données, oui, il semblerait dans le cas présent qu'elle soit beaucoup trop large (si les données ont bien été récupérées via Cap Emploi). Et là, oui, tu as raison de le souligner, le RGPD est explicite.
votre avatar
Et ils expliquent la root cause du leak? Je sais bien que la transparence n'est pas une valeur française, mais dans la mesure où c'est un service public qui utilise des fonds publics, le public a le droit de savoir, surtout ceux qui risquent l'usurpation d'identité.

Qu'est ce qui a merdé? l'infra? le logiciel? la configuration? le suivi des mises à jour sécurité? ...
votre avatar
Il y a la piste d'un mode débug laissé activé sur le site de production (!), et l'utilisation d'un framework pas mis à jour depuis 2016 (!!) twitter.com Twitter
votre avatar
Oui bien sûr, mais l'idée ici est que France Travail ait des comptes à rendre au public... Il serait temps de pousser la transparence parce que quand France Famille et France Patrie se feront aussi hacker, ça sera peut-être encore pire.
votre avatar
Je confirme les events qui empêchent le c/c sur mdp comment dire...
votre avatar
Je comprendrais jamais ce besoin de venir montrer en place publique ce genre de choses. Après y'a certainement aucun moyen d'aller déclarer ce genre de soucis facilement aussi, et d'être pris au sérieux.

Il devrait y avoir un moyen "universel" de venir déclarer des soucis/trou de sécurité trouvé pour les sites web autre qu'écrire au webmestre :francais:

Mais j'ai un doute sur le but de la manœuvre.
votre avatar
La personne en question, bluetouff, a montré une capture d'écran où ses messages d'alerte concernant de précédentes failles de Pôle emploi sont restées sans réponses.
votre avatar
Je vois bien, mais encore une fois le faire en "place publique" pourquoi ? Et surtout es-ce-que vraiment Twitter est le meilleur moyen pour déclarer ce genre de choses ?

Le CM est-il assez concerné et capable de prendre au sérieux cette capture ? D'y comprendre quelque chose ?

Si le but est réellement de prévenir et d'aider? Personnellement j'en doute.
Si le but est de se faire mousser et de faire le spectacle ? Je me pose la question.
votre avatar
Je n'ai pas reçu de mail pour m'avertir que je suis une victime potentielle, heureusement que next est là pour faire le travail. :pciwin:

Ah faudrait peut être mettre à jour ce smilie.
votre avatar
Pareillement! Enfin je crois : la plupart de leurs mails vont direct à la poubelle faudrait que je vérifie mes règles de filtre ^^"
votre avatar
Vivement l'avènement du DMP, le dossier médical partagé et autres joyeusetés du Big data de ces prochaines années. On se sent en confiance 👏
votre avatar
inscrites au cours des 20 dernières années

Ils n'ont jamais entendu parler du RGPD ?
votre avatar
Mais oui, elle est hallucinante cette durée de conservation au regard de la loi et de la criticité des données conservées.
votre avatar
Aux responsables, si ils existent car je soupçonne E.T ou Majax, n'hésitez pas à venir grossir les rangs de france travail !
Des bisous :smack:
votre avatar
C’est la croix et la bannière dès que tu as fait une erreur sur ton profil, avec un parcours utilisateur dont on peut penser qu’il est fait pour bien faire comprendre aux gens qu’être chômeur, c’est mal, mais alors laisser fuiter toute la DB, aucun souci. Belle réussite de notre France Digitale, chapeau 👍
Je VEUX qu’il y ait des répercussions et dédommagements, pas le simple « oups déso ! » habituel.
votre avatar
Le dédommagement sera payé par tes impôts, donc quel est l’intérêt?
votre avatar
Ne sommes-nous pas moins de 70 millions en France, incluant les enfants ?
43 millions de comptes, en partant du postulat qu'une personne ne dispose que d'un seul compte, n'est-ce pas juste la quasi-intégralité des personnes en âge d'y avoir un compte ?
votre avatar
J'ai parlé plus haut de 53 millions de personnes majeurs en France. Si tu ajoute 20 ans à l'âge de départ à la retraite, tu tombes à 82/83 ans actuellement. Ça diminue le nombre de personnes d'environ 4 millions.

Ne pas oublier non plus que les fonctionnaires ne sont que par exception au chômage et donc à Pôle Emploi/France travail. On peut donc enlever 5,6 millions environ.

53-4-5,6 =43,4 :bravo: c'est quasiment un strike !

France Travail piraté, les données de 43 millions de personnes « potentiellement » dérobées

  • « Potentiellement » 43 millions de personnes

  • Quels risques ?

  • Semaine chargée pour l’État : une attaque DDoS il y a quelques jours

  • Une « tempête dans un verre d’eau » ?

Fermer