Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Piratage de France Travail via Cap Emploi : trois suspects interpellés

Toujours plus de questions sans réponse

Piratage de France Travail via Cap Emploi : trois suspects interpellés

Cap Emploi

Fait suffisamment rare pour être souligné : il n'aura fallu que sept jours aux enquêteurs de la police judiciaire pour interpeller les pirates présumés. Pour autant, et contrairement à ce que de nombreux médias avancent, rien ne permet de savoir à ce stade combien des 43 millions de demandeurs d'emploi (actuels ou anciens) pourraient avoir été concernés par la fuite de données.

Le 20 mars à 08h20

La procureure de la République du tribunal judiciaire de Paris annonce l'interpellation ce dimanche 17 mars de trois personnes dans le cadre de l'enquête sur le piratage de données personnelles de France Travail.

Le communiqué, qui ne figure pas sur le site du Parquet de Paris, nous a été retransmis par le journaliste Gabriel Thierry. Nous le diffusons en intégralité :

2024-03-19FranceTravailinterpellationsTélécharger

Elles ont été présentées ce mardi 19 mars à un juge d'instruction en vue de leur mise en examen. Le communiqué précise que la section en charge de la lutte contre la cybercriminalité du parquet de Paris (J3) requiert leur placement en détention provisoire.

Âgées de 21 à 23 ans, elles sont nées en novembre 2001 dans l’Yonne, en septembre 2000 et septembre 2002 dans l’Ardèche, et ont été identifiées via des « investigations techniques et téléphoniques ».

Des perquisitions menées à « leur domicile et sur leur matériel informatique » (sans que l'on comprenne pourquoi le communiqué ne le mentionne qu'au singulier, ndlr) ont « confirmé pour certains d'entre eux une activité d'escroquerie en recourant à la technique du "phishing" ».

Il n'aura donc fallu que sept jours aux enquêteurs...

Le communiqué rappelle que France Travail avait notifié à la CNIL, le 8 mars dernier, une fuite de données personnelles en provenance de sa base de données. Mais également que le parquet de Paris, avisé le 12 mars, avait chargé la Brigade de Lutte contre la Cybercriminalité de la Capitale (BLC2C) de la direction judiciaire de Paris d'une enquête à ce sujet.

Il n'aura donc fallu que sept jours aux enquêteurs pour parvenir à identifier, puis interpeller, les suspects de ce piratage. On ne sait à ce stade si cela pourrait résulter de l'amateurisme ou d’erreurs imputables aux pirates, des moyens engagés par la BLC2C, ou encore des éléments recueillis par les équipes RSSI de France Travail et des éventuels prestataires impliqués dans la fuite de données.

L'information judiciaire porte sur « des chefs d'accès et maintien frauduleux dans un système de traitement automatisé de données, extraction de ces données, escroquerie et blanchiment », le communiqué précisant que chacune de ces infractions est « aggravée par la circonstance de bande organisée ».

« Des premiers éléments identifiés par France Travail », précise la procureure, il ressort qu'entre les 6 février et 5 mars des comptes d'agent Cap Emploi (l'agence chargée d'améliorer l’accès ou le retour à l’emploi de tous les demandeurs d’emploi en situation de handicap, ndlr), « habilités à accéder aux ressources présentes sur le système d'information de France Travail, avaient été utilisés pour procéder au téléchargement de données de la base des demandeurs d'emploi évaluée à 43 millions de données à caractère personnel ».

Contrairement à ce que relaient de nombreux médias, rien ne permet cela dit à ce stade de savoir combien, sur ces 43 millions de personnes, auraient pu être concernées par la fuite de données. Seule certitude, le premier communiqué indiquait que, suite à cette cyberattaque, ce sont « potentiellement les données personnelles de 43 millions de personnes qui ont été exfiltrées ».

... reste à comprendre la responsabilité de France Travail

Comme le soulignaient Fred42 et wagaf en commentaires de notre précédente actualité, plusieurs questions restent en suspens. Comment une usurpation d'identité de conseillers Cap emploi aurait pu permettre aux pirates d'accéder, non seulement aux données personnelles des demandeurs d'emploi ne faisant pas partie de leurs portefeuilles respectifs, mais aussi, et au surplus, à celles de l'ensemble des demandeurs d'emploi, actuels et anciens, les dossiers concernés pouvant en effet remonter à 20 ans.

    • « Si la fuite vient bien d'une usurpation d'identité de conseillers Cap emploi, seuls les demandeurs d'emploi handicapés auraient dû être concernés par la fuite.

    • Même plus que ça, ils n'auraient dû avoir accès à aucun autre dossier que ceux dont ils s'occupent individuellement. Un peu comme les médecins (est-ce encore le cas aujourd'hui ?) qui ont accès aux dossiers de tous les patients de France. »

Des données pouvant potentiellement remonter jusqu'à 20 ans

ZeMeilleur relevait en effet que les données à caractère personnel et les informations enregistrées dans le système d'information dénommé « Système d'information concernant les demandeurs d'emploi et salariés » sont « conservées pendant une durée maximum de vingt années à compter de la cessation d'inscription sur la liste des demandeurs d'emploi, sans préjudice des durées de conservation fixées dans les traitements comportant une durée inférieure ».

Et ce, comme le soulignait alec1337, aux fins de reconstitution de carrière, de la lutte contre la fraude, pour laquelle le délai pour engager une action est de 10 ans (article L.5422 - 5 du Code du travail), avec possibilité de remonter sur les 20 dernières années (article 2232 du Code civil).

Interrogé par BFMTV, France Travail justifie cette durée de conservation des données par le fait que « les personnes qui veulent faire valoir leur droit à la retraite [et donc] récupérer par exemple les éléments liés à leur période de chômage que les personnes n'auraient pas nécessairement conservé », et qu'il est « régulièrement sollicité » sur cette question par d'anciens allocataires.

Le communiqué de la procureure précise que les investigations se poursuivent, dans le cadre de l'information judiciaire, et qu'elles « auront pour objectif de rechercher d'éventuels autres acteurs et d'évaluer la part de responsabilité de chacun ».

Il rappelle par ailleurs que les données personnelles ayant potentiellement été piratées ne contiennent pas le mot de passe ni les coordonnées bancaires des demandeurs d'emploi, mais les nom, prénom, adresse mail et postale, numéro de téléphone, date et lieu de naissance, numéro de Sécurité sociale et identifiant France Travail des personnes concernées.

Commentaires (28)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
J'ai une piste pour savoir comment ils ont retrouver les suspects.

Ils ont pris la liste diffusée, ils ont demander une extraction complète à France Travail des données, ils ont fait la différence entre les 2 et trouvé qu'il manquait 3 noms !

Blague à part, chapeau les enquêteurs pour avoir pu avancer aussi si vite. Mais au delà tu piratages, cette affaire aura révélé la véritable problématique qui se cache derrière tout ça : je ne dis pas qu'il n'y a pas un sujet sur la durée de conservation, mais l'accès aux données étaient beaucoup beaucoup trop large.
votre avatar
"l'accès aux données étaient beaucoup beaucoup trop large"

Ça a changé ? :transpi:
votre avatar
Comme le dit l'article, tout dépend des motivations et des moyens pour retrouver (des/les) coupables.

Si tous les opérateurs telco français ont été sommés de répondre dans l'heure aux réquisitions avec avis en amont ça peut aller extrêmement vite.

C'est surtout un coup de com la publication "voyez comme on travaille bien main dans la main police/gendarmerie et magistrats"


Pour l'accès aux données, idem, "potentiellement" est important, si il faut ils ont récupérés 150 profils te c'est tout.
Si il faut, les 3 vont être relachés dans 72h et personne n'entendra/ne lira ça dans la presse.
votre avatar
Les agents sont potentiellement amenés à travailler sur n'importe quel dossier. Donc c'est, à mon avis, compliqué de restreindre le périmètre. Peut-être manque t'il un garde fou qui bloquerait et lèverait une alarme quand un agent consulte plus de N dossier par jour ou par heure? histoire qu'il ne soit pas possible de dump la base via des call api.

Mais bon, c'est toujours facile de trouver des solutions une fois l'incident passé.
votre avatar
Oui, mais c'est important pour éviter que ça se reproduise. C'est une saine démarche.
votre avatar
Chez France travail, pourquoi pas (et encore, je suis sûr que l'on peut définir un accès plus fin avec demande d'accès ponctuel si besoin), mais pas les employés de Cap Emploi qui ne s'occupent que de personnes en situation de handicap.
votre avatar
Apparemment, ils ont été assez bons et ont réussi à effacer leurs traces. Ils sont du coup resté assez longtemps avec un accès au système. Ils ont peut-être exfiltré les données au compte-goutte…
votre avatar
Plutôt d'accord. Le problème de France Travail est d'avoir externalisé ses activités auprès d'organismes de formation et de prestataires d'accompagnement divers. Même en mettant des limites d'accès à la base de données, les gens se refilent facilement les codes d'accès, les identifiants. Perso, je ne compte pas les fois où, en tant que chercheur d'emploi, un animateur (plutôt une animatrice, le métier étant très féminisé) de session d'activité a demandé les identifiants d'un participant pour faire une démonstration de l'interface « candidat » sur la plateforme pole-emploi.fr.
votre avatar
Parce que pôle-emploi ne leur doit pas d'accès aux dossiers.
La dernière fois que je suis allé en entretien la nana a commencé par me demander mon CV + les infos que j'avais déjà rempli.

Elle aurait eu accès à ma fiche, ce RDV n'aurait même pas été utile ou bien elle aurait commencé par ce renseigner mon secteur d'activité.

La CPAM fait la même chose avec les tutelles.
votre avatar
Demander aux autres de faire son taf c'est à la mode un peut partout :fume:

Honnêtement, je pense que c'est aussi pour pas avoir a préparer de leur côté qu'ils font ça, peut être pare qu'ils ont trop de dossier, mais c'est pas une raison.
votre avatar
C'est en préventif que servent les analyses de risque sur ce genre de systèmes, et qui doivent être régulièrement mises à jour. :fumer:

Les mecs/boites privées qui sont derrière les outils doivent bien avoir quelques certifs ISO27xxx j'imagine.
A ce niveau, c'est de l'amateurisme.

Qu'une PMe ne le fasse pas je peux comprendre (et encore), là c'est autre chose.
votre avatar
Pour voir si c'était du second degré, je suis allé voir ton historique.
Et non ce n'est pas du second degré.

J'aimerais que tu nous expliques pourquoi tu arrives à mettre Poutine dans la conversation ?
Sachant que contrairement à certains extrémistes qui à chaque faits divers ont le coupable idéal (la nature du coupable changeant suivant l'extrème), toute personne normalement constituée attend la fin de l'enquête pour en tirer des conclusions.

Et pour conclure, sachant qu'aucun bouc émissaire n'a été cherché dans cette enquête, cela devra te rassurer à l'avenir quand ces mêmes enquêteurs mettront en avant (ou pas, l'avenir nous le dira) une potentielle ingérence russe dans la diffusion de fake news.
votre avatar
Tu sais bien que la démocratie parfaite de la Russie toute puissante qui-peut-pas-perdre ne s'abaisserait jamais à agiter toute la fange des sociétés démocratiques (qui ne sont en fait, bien entendu, que de viles dictatures décadentes qui se font passer pour des démocraties) pour leur nuire.
votre avatar
La preuve en grand prince il a pas même voté pour lui-même, il a pas fait 99 % :craint:
votre avatar
Et même, moins de 90%, il a carrément eu un petit coup de mou.
votre avatar
Remarque, il aurait pu utiliser l'autre excuse , argumentaire lui aussi utilisé et usé jusqu'à la corde: "c'est la faute à Macron."
votre avatar
Je pensais qu'il y avait que des hippies technophobes en Ardèche :pastaper:
votre avatar
Tu confonds avec le Cantal, non ?
votre avatar
On va dire qu'ils sont dans tous les départements du pays :fume:
votre avatar
« … leur matériel informatique » (sans que l'on comprenne pourquoi le communiqué ne le mentionne qu'au singulier, ndlr)
Bah, « leur matériel informatique », ça représente toutes leurs machines, pas de raison de le mettre au pluriel.
votre avatar
"Elles ont été présentées ce mardi"

De qui parle ce "Elles" ?
Les 3 personnes interpellées une page plus haut ?

Les forces de l'ordre ont été efficaces, ça arrive aussi et il faut le souligner.

Je note que la participation des commentateurs est mise en avant et j'aime ça.
votre avatar
J'espère que ça ne sera un scoop ni pour toi, ni pour personne, mais il y a rarement un problème d'efficacité individuelle.
Quant à l'efficience, quand on la cherche au niveau individuelle, c'est qu'on veut ignorer celle systémique.

Le problème de toute entité qui ne travaille pas "assez bien" est en général à chercher dans les moyens, qui in fine aboutissent tous à 5 choses très différents : l'oseille, la maille, le flouz, les pépettes & le pognon.

À titre d'exemples :
* Plusieurs décennies de lois sécuritaires sont avenues au prétexte d'inefficacité des renseignements, de la police & de la justice, alors que les outils existaient (moyens techniques & légaux), juste pas les moyens humains… car pas les moyens financiers
* L'inefficience supposé de l'Éducation Nationale est à mettre en miroir de décennies de "signaux d'alarme" (qui prête encore attention à une alarme qui sonne en continu ? c'est paradoxal, mais bien humain) sur le sous-effectif, devenu chronique, auquel on s'est habitué jusqu'à le trouver normal
* L'inefficience de la fonction publique en général (reprenant les deux exemples précédents) est à mettre en miroir de toutes ces administrations sans personnel, car sans moyens, de tous ces guichets fermés au non d'une "rationalisation de la dépense", aka coupure de la dépense car budget déséquilibré recette/dépense. Il est "amusant" que l'angle d'attaque soit encore et toujours celui de la "dépense trop élevée" quand personne ne semble donc vouloir adresser la recette qui n'a jamais été suffisante et qui s'est amoindrie. Y aurait-il donc des entités qui ne versent pas au pot commun ? Comment appelle-t-on le pot commun auquel toutes les entités d'une Nation contribue ? Comment pourrait-on donc appeler des entités qui ne versent pas ou trop peu au pot en fonction de leur capacité ? Si seulement nous avions des réponses… Ces réflexions doivent certainement être trop avant-gardistes.
votre avatar
Bah ... tes exemples sont un peut foireux quand même ...

Loi sécuritaires : les font y sont, ils sont mal répartis pour être efficients, et un accepte aujourd'hui des policiers qui ont eu la note de 7 aux tests d'entrée, et en prime on leur file un flingue ..
Désolé, mais c'est plus la gestion du personnel qui est en cause ici en premier lieu.
Ne pas avoir les moyens de réparer des véhicules de police/gendarmerie dont les utilisateurs n'ont rien à faire et s'amusent a les défoncer bah .. ça coute, et à un moment y'a plus les thunes parce que des abrutis ont fait n'importe quoi avec.
Ils ne sont pas tous comme ça, mais y'en a un certain nombre, assez pour plomber.

Education Nationale : La problématique des profs existe, maintenant le manque de moyens est lié aussi du fait que pour certains postes y'a 3 personnes alors qu'il n'en faut qu'une, que les personnes ne se forment pas, ne veulent pas changer d'habitudes, et je ne parlerai pas des horaires uniquement de présence pour certains.
Ensuite, bah économiser 30 ans sur les travaux des bâtiments ça fait plaisir au début, mais 30 ans après, quand tu crames de l'énergie pour le chauffage et la lumière pour rien faut pas s'étonner en surplus de ça. Le chauffage à fontles fenetres ouvertes parce qu'il fait trop chaud l'hiver et la lumière toute la nuit c'est pas nouveaux, et ça sert a rien.

Fonction publique : idem que pour l'Education Nationale, problème de gestion des moyens et de personnel.
Après, proposer des parcours de démarche en ligne c'est bien, mais si après au final t'as un gus qui fait ton passport en version imprimé papier pour le scanner dans la foulée y'a un soucis de gestion, pas de moyens.

Bref .. c'est pas la thune le soucis, c'est la gestion de la thune, comme dans un ménage en fin de mois.
votre avatar
Quand on voit que la refonte du site pole-emploi.fr a changé la façon de s'identifier sur la plateforme sauf pour le serveur vocal (quand on fait ses opérations par téléphone) où il faut s'identifier avec le numéro identifiant historique à 7 chiffres + 1 lettre, on peut imaginer que le système de base de données interne de France Travail est encore siglé ©ANPE.
votre avatar
Par contre ils ont bien pensé à rediriger anpe.fr directement vers francetravail.fr :p


* HTTP 1.0, assume close after body
< HTTP/1.0 301 Moved Permanently
< Location: https://www.francetravail.fr/
< Server: BigIP
* HTTP/1.0 connection set to keep alive
< Connection: Keep-Alive
< Content-Length: 0
<
votre avatar
Je n'ai pas constaté de changement dans la manière de se connecter. Peux-tu développer?
votre avatar
En septembre 2019, la plateforme pole-emploi.fr a changé de méthode d'authentification : plus besoin du numéro à 7 chiffres + 1 lettre, chaque candidat inscrit choisit un identifiant et un mot de passe personnalisés et modifiables à tout moment.

J'ai retrouvé une vidéo-tutoriel (lien facebook).
votre avatar
C'est plus ce que c'etait NordVPN :stress:

Piratage de France Travail via Cap Emploi : trois suspects interpellés

  • Il n'aura donc fallu que sept jours aux enquêteurs...

  • … reste à comprendre la responsabilité de France Travail

  • Des données pouvant potentiellement remonter jusqu’à 20 ans

Fermer