Piratage de France Travail via Cap Emploi : trois suspects interpellés

Fait suffisamment rare pour être souligné : il n'aura fallu que sept jours aux enquêteurs de la police judiciaire pour interpeller les pirates présumés. Pour autant, et contrairement à ce que de nombreux médias avancent, rien ne permet de savoir à ce stade combien des 43 millions de demandeurs d'emploi (actuels ou anciens) pourraient avoir été concernés par la fuite de données.

La procureure de la République du tribunal judiciaire de Paris annonce l'interpellation ce dimanche 17 mars de trois personnes dans le cadre de l'enquête sur le piratage de données personnelles de France Travail.

Dans la cyberattaque de France Travail, ayant pu entraîner la fuite de 43 millions de données, la section de lutte contre la cybercriminalité du @parquetdeparis a ouvert une information judiciaire, après trois interpellations par la BL2C delà @prefpolice. Communiqué de presse ⤵️ pic.twitter.com/fiPSn0pIQb

— Parquet de Paris (@parquetdeParis) March 19, 2024

Le communiqué, qui ne figure pas sur le site du Parquet de Paris, nous a été retransmis par le journaliste Gabriel Thierry. Nous le diffusons en intégralité :

Elles ont été présentées ce mardi 19 mars à un juge d'instruction en vue de leur mise en examen. Le communiqué précise que la section en charge de la lutte contre la cybercriminalité du parquet de Paris (J3) requiert leur placement en détention provisoire.

• France Travail piraté, les données de 43 millions de personnes « potentiellement » dérobées

Âgées de 21 à 23 ans, elles sont nées en novembre 2001 dans l’Yonne, en septembre 2000 et septembre 2002 dans l’Ardèche, et ont été identifiées via des « investigations techniques et téléphoniques ».

Des perquisitions menées à « leur domicile et sur leur matériel informatique » (sans que l'on comprenne pourquoi le communiqué ne le mentionne qu'au singulier, ndlr) ont « confirmé pour certains d'entre eux une activité d'escroquerie en recourant à la technique du "phishing" ».

Il n'aura donc fallu que sept jours aux enquêteurs...

Le communiqué rappelle que France Travail avait notifié à la CNIL, le 8 mars dernier, une fuite de données personnelles en provenance de sa base de données. Mais également que le parquet de Paris, avisé le 12 mars, avait chargé la Brigade de Lutte contre la Cybercriminalité de la Capitale (BLC2C) de la direction judiciaire de Paris d'une enquête à ce sujet.

Il n'aura donc fallu que sept jours aux enquêteurs pour parvenir à identifier, puis interpeller, les suspects de ce piratage. On ne sait à ce stade si cela pourrait résulter de l'amateurisme ou d’erreurs imputables aux pirates, des moyens engagés par la BLC2C, ou encore des éléments recueillis par les équipes RSSI de France Travail et des éventuels prestataires impliqués dans la fuite de données.

L'information judiciaire porte sur « des chefs d'accès et maintien frauduleux dans un système de traitement automatisé de données, extraction de ces données, escroquerie et blanchiment », le communiqué précisant que chacune de ces infractions est « aggravée par la circonstance de bande organisée ».

« Des premiers éléments identifiés par France Travail », précise la procureure, il ressort qu'entre les 6 février et 5 mars des comptes d'agent Cap Emploi (l'agence chargée d'améliorer l’accès ou le retour à l’emploi de tous les demandeurs d’emploi en situation de handicap, ndlr), « habilités à accéder aux ressources présentes sur le système d'information de France Travail, avaient été utilisés pour procéder au téléchargement de données de la base des demandeurs d'emploi évaluée à 43 millions de données à caractère personnel ».

Contrairement à ce que relaient de nombreux médias, rien ne permet cela dit à ce stade de savoir combien, sur ces 43 millions de personnes, auraient pu être concernées par la fuite de données. Seule certitude, le premier communiqué indiquait que, suite à cette cyberattaque, ce sont « potentiellement les données personnelles de 43 millions de personnes qui ont été exfiltrées ».

... reste à comprendre la responsabilité de France Travail

Comme le soulignaient Fred42 et wagaf en commentaires de notre précédente actualité, plusieurs questions restent en suspens. Comment une usurpation d'identité de conseillers Cap emploi aurait pu permettre aux pirates d'accéder, non seulement aux données personnelles des demandeurs d'emploi ne faisant pas partie de leurs portefeuilles respectifs, mais aussi, et au surplus, à celles de l'ensemble des demandeurs d'emploi, actuels et anciens, les dossiers concernés pouvant en effet remonter à 20 ans.

• • « Si la fuite vient bien d'une usurpation d'identité de conseillers Cap emploi, seuls les demandeurs d'emploi handicapés auraient dû être concernés par la fuite.

• • Même plus que ça, ils n'auraient dû avoir accès à aucun autre dossier que ceux dont ils s'occupent individuellement. Un peu comme les médecins (est-ce encore le cas aujourd'hui ?) qui ont accès aux dossiers de tous les patients de France. »

Des données pouvant potentiellement remonter jusqu'à 20 ans

ZeMeilleur relevait en effet que les données à caractère personnel et les informations enregistrées dans le système d'information dénommé « Système d'information concernant les demandeurs d'emploi et salariés » sont « conservées pendant une durée maximum de vingt années à compter de la cessation d'inscription sur la liste des demandeurs d'emploi, sans préjudice des durées de conservation fixées dans les traitements comportant une durée inférieure ».

Et ce, comme le soulignait alec1337, aux fins de reconstitution de carrière, de la lutte contre la fraude, pour laquelle le délai pour engager une action est de 10 ans (article L.5422-5 du Code du travail), avec possibilité de remonter sur les 20 dernières années (article 2232 du Code civil).

Interrogé par BFMTV, France Travail justifie cette durée de conservation des données par le fait que « les personnes qui veulent faire valoir leur droit à la retraite [et donc] récupérer par exemple les éléments liés à leur période de chômage que les personnes n'auraient pas nécessairement conservé », et qu'il est « régulièrement sollicité » sur cette question par d'anciens allocataires.

Le communiqué de la procureure précise que les investigations se poursuivent, dans le cadre de l'information judiciaire, et qu'elles « auront pour objectif de rechercher d'éventuels autres acteurs et d'évaluer la part de responsabilité de chacun ».

Il rappelle par ailleurs que les données personnelles ayant potentiellement été piratées ne contiennent pas le mot de passe ni les coordonnées bancaires des demandeurs d'emploi, mais les nom, prénom, adresse mail et postale, numéro de téléphone, date et lieu de naissance, numéro de Sécurité sociale et identifiant France Travail des personnes concernées.

• • [Édito] Internet, un annuaire des Français à ciel ouvert