Un incident cyber expose les données de 340 000 usagers France Travail

Recherche plombier expérimenté

Flock

France Travail a alerté par email certains de ses usagers d'un incident de cybersécurité survenu au niveau d'un service dédié au suivi des formations. Il est susceptible d'avoir conduit à l'exposition des données personnelles de 340 000 inscrits.

Alexandre Laurent

Le 23 juillet à 10h09

4 min

Sécurité

France Travail a envoyé, mardi 22 juillet au soir, un courrier d'information à certains des usagers inscrits à son service, alertant d'un acte de cyber malveillance susceptible d'avoir entrainé la consultation illégitime de leurs données personnelles. Dans son email, que Next reproduit ci-dessous, l'ex Pole Emploi indique que la fuite est survenue au niveau « du portail emploi destiné à [ses] partenaires ».

Nom, prénom, adresses, téléphone et statut France Travail

L'agence affirme par ailleurs avoir immédiatement fermé le service concerné, lancé des analyses pour déterminer l'origine de l'attaque, et rempli ses obligations de signalement en informant la CNIL dès le 13 juillet, date de la découverte de cet incident.

« Les données compromises sont vos nom, prénom, adresses postale et électronique, numéro de téléphone, identifiant France Travail et statut (inscrit, radié). Vos données bancaires ou vos mots de passe ne sont pas concernés par cet incident », informe France Travail.

Comme toujours en de telles circonstances, l'agence invite les utilisateurs concernés à la prudence, notamment vis à vis des risques de phishing (hameçonnage).

*Cet email a été adressé par France Travail à certains inscrits mardi 22 juillet en fin de journée*

Une application de suivi des formations mise en cause

Contactée par Next, la direction de France Travail apporte quelques précisions sur la nature de l'incident et surtout sur son périmètre. L'alerte est d'abord partie du CERT-FR de l'ANSSI, le 12 juillet. Son traitement a permis aux équipes internes de France Travail d'identifier le service par lequel est intervenue la fuite.

« Il s’agit de l’application Kairos permettant aux organismes de formation d'agir sur le suivi des formations des demandeurs d'emploi. Le service a été immédiatement fermé ainsi que tous les autres services hébergés sur le portail Emploi destiné à nos partenaires », explique France Travail. La fuite aurait été rendue possible grâce à la compromission, via un malware de type infostealer (logiciel spécialisé dans le vol d'informations personnelles) d'un compte utilisateur rattaché à un organisme de formation basé dans l'Isère.

340 000 demandeurs d'emploi concernés

Outre le signalement à la CNIL, France Travail indique avoir déposé plainte auprès des autorités, en parallèle de la procédure obligatoire d'information des personnes concernées. « Les données de 340 000 demandeurs d’emploi ont été consultées et seraient donc susceptibles d’être divulguées et exploitées de manière illégale », révèle à ce niveau l'agence.

Les services concernés par cette fermeture préventive devraient être réactivés jeudi. France Travail affirme en parallèle avoir intensifié ses mesures de protection, et accéléré le déploiement d'une authentification double facteur dédiée à Kairos, initialement programmée pour octobre prochain.

« Face à la menace croissante de cyber attaques, nous renforçons en continu nos dispositifs de protection, procédures et consignes et appelons nos partenaires utilisateurs de nos services et appli à la plus grande vigilance concernant la robustesse et la confidentialité de leurs mots de passe », promet encore France Travail.

Rappelons que le service dédié aux demandeurs d'emploi a été victime, début 2024, d'une fuite de données massive qui avait conduit à l'exposition des informations relatives à quelque 43 millions d'inscrits. La portée réelle de l'intrusion avait toutefois été relativisée par la suite.

France Travail : un piratage limité à 3 % des 43 millions des victimes « potentielles » ?

Commentaires (23)

Abonnez-vous pour prendre part au débat

Déjà abonné ? Se connecter

Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.

Accédez en illimité aux articles

Profitez d’un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

pamputt Premium

Modifié le 23/07/2025 à 10h26

Le mal était déjà fait avec la fuite de 2024 qui concernait 43 millions de personnes. Au moins cette nouvelle fuite permettra aux cybercriminel(le)s de mettre à jour 1% de la base de données précédemment créée

Patch Premium

Le 23/07/2025 à 13h44

Et encore, la MAJ d'une partie de ces 1% ne sert à rien. J'étais déjà dans les 43 millions, je suis encore dans les 340.000... Et je n'ai rien mis à jour entre les 2 attaques. je suppose que je ne suis pas le seul dans ce cas.

psikobare

Le 24/07/2025 à 02h31

Tu t'appelles genre Alain ABAR ?

Angedestenebres Premium

Le 23/07/2025 à 10h31

J'adore le sous-titre

Cela dit, ça fait mal de voir en peu de temps deux fuites pour France Travail...

fred42 Premium

Le 23/07/2025 à 10h32

La fuite de données de début 2024 n'a pas servi de leçon.

On continue à laisser un accès à un très grand nombre de comptes aux partenaires qui en plus ne savent pas protéger leurs postes de travail.

Ça m'étonnerait fortement qu'un organisme de formation basé en Isère ait besoin d'accéder à 340 000 comptes de demandeurs d'emploi.
La gestion des droits d'accès n'est donc toujours pas à la hauteur.

Mais tout va bien, France Travail s'excuse elle-même au lieu de présenter ses excuses !

jpaul

Le 23/07/2025 à 10h46

J’ai du passer par le chômage il y a peu. C’est peu de dire que t’es données perso traînent absolument partout. Tu passes ton temps dans telle ou telle formation/workshop/whatever à remplir des questionnaires à la limite de l’intime qui sont gérés par va savoir quel prestataire. France Travail partage absolument tout ton profil avec tous les prestataires externes avec qui tu es limite forcé de travailler si tu veux rester dans les bonnes graces du contrôle de recherche d’emploi.

Et comme d’habitude, c’est bien plus par méconnaissance des risques que par malveillance : absolument personne ne voit le problème, les trois quarts de tes interlocuteurs n’arrivent pas à projeter des slides sur un vidéo projecteur donc les problématiques des données personnelles et la sécurité t’imagines bien que c’est un sujet inexistant (pas que tout le monde doive être expert en sécurité des données, mais en attendant ces gens sont tes seuls interlocuteurs) et en tant que chômeur si tu lèves le petit doigt pour t’opposer à tous ces transferts à droite et à gauche (quand t’es au courant), tu prends le risque que ce soit vu et noté dans ton dossier comme un refus de coopération dans le retour à l’emploi.

Et je parle meme pas des formations totalement inutiles qu’on te fait faire parce qu’il faut bien te faire faire quelque chose vu qu’on va pas te trouver d’emploi, on te demande bien ton avis mais amuses toi à dire non. Mais c’est un autre sujet.

fred42 Premium

Le 23/07/2025 à 10h53

Ne me dis pas qu'à France Travail personne n'est conscient des risques.
Ils sont responsables de la protection des données personnelle et de l'application du RGPD et doivent contrôler leurs sous-traitants en terme de sécurité.
Mais de toute façon, le problème est d'abord dans leur système informatique qui ne permet probablement pas une gestion fine des droits des utilisateurs. C'est à ça qu'ils auraient dû travailler depuis la fuite de 2024.

jpaul

Le 23/07/2025 à 12h10

Ne me dis pas qu'à France Travail personne n'est conscient des risques.

Je ne dis pas ça, probablement qu’en tant qu’institution il y a forcément des gens qui sont au courant (j’espère).

Mais en tant qu’usager, tes interlocuteurs eux n’y sont pas formés. Par exemple, dire à ton conseiller que t’as pas voulu remplir tel ou tel questionnaire de personnalité à la con demandé par un prestataire ou refuser une formation inutile parce que t’as pas envie de refiler tout ton dossier à des inconnus malheureusement ça peut jouer en ta défaveur.

Bien sûr tu peux être procédurier et probablement t’en sortir mais quand t’es chômeur c’est rarement ta priorité.

Patch Premium

Le 23/07/2025 à 13h47

Je ne suis même pas sûr que ce soit via les prestas qu'il y les fuites. Ca fait plus de 10 ans que je ne suis plus chômeur, que je n'ai rien remis à jour dans mon dossier Pôle Emploi, et pourtant je fais partie des victimes dans les 2 attaques...

Timanu69

Le 23/07/2025 à 10h52

https://www.cooldirect.fr/news/le-cout-de-la-transformation-de-pole-emploi-en-france-travail-4336

Pourtant c'est bien écrit sur la troisième ligne en GRAS

wanou Premium

Le 23/07/2025 à 23h13

C'est clair qu'il n'y a pas que le la solidité de l'authentification qui est en cause dans ce cas là comme dans les autres.

Je suis étonné que la vitesse ou la quantité de consultation anormale ne provoque pas un blocage immédiat des comptes des partenaires.

Et quid de la limitation des accès aux dossiers de personnes effectivement envoyés à ces organismes ?

Sinon, on peut aussi imposer une autorisation systématique d'accès pour chaque dossier avec la validation de l'accès par la personne concernée via une application.

Dernier point, la durée de conservation des données. Je pensais que la CNIL bougerait ses fesses sur ce point...

swiper Premium

Le 24/07/2025 à 09h51

Je pense que rien n'est aussi simple que d'une baguette magique changer les méthodes d'authentification. Travaillant dans le développement de la santé rendu aux acteurs médicaux français, changer une méthode d'authentification ça peut prendre 1 an et encore, on est une PME, pas de la taille de France Travail.

J'entends quand même ici le problème des fuites qui se répètent mais le TPRM est un problème immense et le dinosaure qu'est cette administration ne permet pas une direction agile. C'est lent, c'est lourd et c'est long.

fred42 Premium

Le 24/07/2025 à 15h42

RGPD, 2 dates :

- promulgation le 27 avril 2016
- applicable à partir du 25 mai 2018
Ce n'est pas que depuis début 2024 qu'il fallait s'en préoccuper.

Et s'ils ne sont pas capables de gérer correctement leurs sous-traitants, qu'ils fassent tout en interne.

Le RGPD s'applique à tout le monde.

swiper Premium

Le 28/07/2025 à 09h50

Tu parles comme si il n'existait que le RGPD à mettre en place. Certes, il y a certainement une lenteur absolue à prendre en compte les réglementations applicables mais il est important de reconnaitre que le dinosaure qu'est Pôle emploi a un SI d'un autre siècle et toutes les complications que cela engendre. Notamment les roadmaps antédiluviennes et les backlogs immenses de bug en tout genre.
Ce que je voulais exprimer c'est simplement qu'on peut pas juste dire: "ils avaient qu'à mettre le MFA depuis tout ce temps"

fred42 Premium

Le 28/07/2025 à 12h19

Ce que je voulais exprimer c'est simplement qu'on peut pas juste dire: "ils avaient qu'à mettre le MFA depuis tout ce temps"

Bah si, on peut le dire.

Sinon autant dire que l'on a le droit de ne pas respecter la loi quand on est un établissement public à caractère administratif. On ira plus vite.

Je vois que pour donner accès à tout à n'importe qui, ils savent aller vite.

Jon Joe Premium

Le 23/07/2025 à 10h49

France Travail à se foutre de la gueule du monde, encore et toujours donc.

Des sanctions, des personnes mises face à leurs responsabilités, allez ne serait-ce qu'une remise en question?

Probablement pas: ces gens font tout bien, tout le temps, et ont toujours raison.

Donc rendez-vous pour la prochaine fuite de données et le prochain "ouais, pardon, balèk".

dylem29 Premium

Le 23/07/2025 à 11h07

Encore!
Ça fait beaucoup là, non?

rxPyOm Premium

Le 23/07/2025 à 11h18

France Travaille Mal apparemment, être formé par des gens incompétents c’est humiliant.
Mais bon, il faut bien des gagnants et des perdants sinon comment justifier des moyens mirobolants (et je parle aussi des salaires des dirigeants) mis dans la balance ?
On veut des poursuites, il s’agit de nos moyens après tout.

eglyn Premium

Le 23/07/2025 à 11h44

Non, mais ils s'améliorent, on passe de 43M à 340k, je pense qu'ils vont pouvoir se féliciter de cette progression impressionnante !

Thorgalix_21 Premium

Le 23/07/2025 à 14h00

Je ne sais pas si c'est lié à la fuite de 2024 ou bien à celle-ci mais mon fils qui est actuellement en "formation d'accompagnement pour développer son projet professionnel" a reçu pas plus tard qu'hier un SMS pour un super poste super bien rémunéré, depuis son domicile, seulement 1 à 2h /jour ...
Il l'a fait suivre au 33700.

cthoumieux Premium

Le 24/07/2025 à 12h29

Ma société travaille avec france travail, et souvent on est obligé de laisser passer des trucs par ce qu'ils ne savent/peuvent/veulent pas faire autrement..
Je me demande, si toute la cyber awarness qui est imposé(a juste titre) au société privée s'applique aussi aux agences étatique ? Perso je ne pense pas qu'il ai déjà suivi ce type de choses...
L etat et ses agences est plus dans le mode "fait ce que je dis mais pas ce que je fais..)

lexflex

Modifié le 28/07/2025 à 10h39

En 2016 (avant le rgpd) j'avais trouvé une faille sur le site de l'URSSAF.
Une fois connecté, il y avait une page avec un formulaire pour récupérer les fiches de paye par mois. Ça déclenchait un javascript pour récupérer sa fiche de paye. Ça appelait une page en asp il suffisait de changer le paramètre du numéro de compte qui par défaut était celui de la personne connecté et la date pour récupérer la fiche de paye d'un autre compte. On obtenait un pdf avec le numéro de sécurité sociale, salaire adresse etc.. Je l'avais déclaré a la ANSSI.

Hoglya Premium

Le 25/07/2025 à 17h54

Bel exemple de Broken Access Control. En première place du top 10 de l'OWASP en ce moment :-)