Nouvelle fuite de données chez France Travail, 1,6 million de comptes concernés

Bis repetita placent

Nouvelle fuite de données chez France Travail, 1,6 million de comptes concernés

Flock

Le 01 décembre à 20h31

Commentaires (33)

votre avatar
Décidément...
Le best-of du 31 décembre sera bien différent cette année, s'il faut compter le nombre d'incidents similaires
votre avatar
votre avatar
ça commence à ressembler à une grille de Bingo
votre avatar
France Travail à fond sur l'opendata de données personnelles !
votre avatar
Et si les bases de tout ces organismes et entreprises étaient juste grand ouvert, toutes ces données vaudraient elles encore quelques choses ? 😅
Faut croire que non, puisque ça semble être déjà le cas 😭
votre avatar
Si le responsable de gestion de compte en question est un profil avec MFA, ça veut dire dans ce cas qu'il y a eu le bon vieux PC non verrouillé laissé à l'abandon ?

Parce que là, visiblement, on était dans les bonnes pratiques pour des profils à privilèges.

On pourrait évoquer les timeout de session et j'en passe, mais là on tombe dans le très difficile dosage entre la sécurité et la dégradation de l'expérience utilisateur. Si c'est pour se reconnecter toutes les 10 minutes et perdre son travail à chaque fois, autant dire que ça n'ira pas.
votre avatar
Faut surtout voir pour qu'un un gars d'une mission local a pu donner accès à des données de l'autre bout de la France.
La segmentation des accès à une zone bien plus réduite aurait été appréciable pour une mission LOCALE.

Y'a des mesures annexes qui auraient dues être prises et ne l'ont pas été pour aider à prévenir ce genre de choses.
votre avatar
Si tu avais vu comment France Travail avait traité ma demande RGPD de suppression de compte suite à la précédente fuite de 43 millions de personnes concernées, je ne pense pas que tu dirais qu’ils appliquent les bonnes pratiques :-)

Pour résumer, non seulement ils n’ont pas supprimé mon compte (ils ont l’obligation de conserver les données pendant 20 ans, mais laisser le compte actif est autre chose, je crois qu’ils ne connaissent pas le principe d’archivage), mais en plus ils ont modifié l’adresse mail de mon compte pour en mettre un qui se termine par rouen.fr (je n’ai rien à voir avec la ville de Rouen).
votre avatar
J'ai parlé des bonnes pratiques en matière de profils à privilège (à savoir les mettre derrière MFA, entre autres), ça n'a rien à voir avec le cas que tu cites.
votre avatar
Si des milliers de "partenaires" ont un accès libre à toute la base de donnée, le MFA ne changera pas grand chose et ce type de fuite est destinée à se reproduire encore et encore.

La sécurité est une question de culture d'entreprise autant qu'une question technique ou de bonnes pratiques.

Si tout le monde à accès à tout, et que chaque fois que c'est interrogé (par ex. après une fuite) il y a quelqu'un pour expliquer que c'est normal et ne doit surtout pas changer, c'est un problème de culture de la sécurité.

La réponse "France Travail va désormais aller plus loin en mettant en place une sensibilisation obligatoire à renouveler tous les 6 mois pour tous les collaborateurs de nos partenaires" indique qu'ils n'ont pas du tout pris la mesure du problème et qu'il y a bien un problème culturel majeur dans cette organisation.
votre avatar
Si des milliers de "partenaires" ont un accès libre à toute la base de donnée, le MFA ne changera pas grand chose et ce type de fuite est destinée à se reproduire encore et encore.
De ma compréhension, c'est un profil de gestion d'habilitations d'accès qui a été compromis pour créer deux autres comptes frauduleux. Est-ce que c'est ce profil de base qui a aussi accès à toutes les données ? Aucune idée en ce qui me concerne.

Le fait qu'un tel profil à privilège soit derrière MFA est une bonne pratique de sécurité quoi qu'on en dise. Le fond reste à savoir comment il a pu être compromis (d'où mon hypothèse du poste laissé à l'abandon avec session ouverte, un grand classique)

Par contre, s'il est capable de créer et d'attribuer des droits à d'autres (ce qui est sa finalité, toujours de ma compréhension de l'article), c'est peut-être ce panel de droits possibles et attribuables qui est en cause et qui auraient permis cette extraction massive.
votre avatar
C'était pour être sûr que notre article de cet aprem dédié aux risques associés à ces multiples fuites ait du succès, merci France travail !
votre avatar
Il paraît que la plateforme francetravail.fr demandera aux canditat(e)s et employeurs un code reçu par mail ou sms pour se connecter à partir de fin janvier 2026. C'est tellement fou que France Travail commence un peu à parler de double-authentification. Alors que la base de données de France Travail, c'est un peu comme celle du compteur Linky, c'est démentiel.
votre avatar
Ce qui n'a absolument rien à voir avec le problème énoncé ici. Les fuites de données massives ne sont jamais dus à la sécurité des comptes utilisateurs, la MFA dessus n'y changera rien. C'est soit via des failles exploitées, soit via des comptes administrateurs, et en plus là même la MFA qui était active n'a rien empêcher, comme quoi c'est pas la solution magique.
votre avatar
Bien sûr, je suis entièrement d'accord. Je remarque juste que, vu la base de données de France Travail, le nombre d'utilisateurs/trices de la plateforme publique, ce n'est qu'en 2026 que France Travail commence à mettre en place ce que ameli.fr caf.fr toutes les mutuelles/assurances font depuis les années 2010. Il ne restait plus que l'assurance-chômage...

J'ajouterais que le sms ou le mail comme système de double-authentification est trop faiblement sécurisé. C'est déjà mieux que rien.
votre avatar
le sms je comprends mais le mail ?
votre avatar
le mail je comprends mais le sms ?
votre avatar
C'est mieux que rien et c'est largement suffisant pour ce qu'il y a à voler ou l'intérêt pour un tiers d'effectuer des actions sur le compte de quelqu'un.

Et de toute façon le SMS n'est pas possible car tout le monde n'a pas de téléphone portable. Reste que le mail qui est déjà obligatoire pour créer le compte, immédiat à créer si on n'en a pas, et totalement gratuit.
votre avatar
Y'a un truc que je ne comprends pas : pourquoi un utilisateur aurait la possibilité de lister autant de personnes ?
Je veux dire : il serait possible de limiter le nombre de "fiches personnelles" disponibles sur un temps donné (genre pas plus de 10 par jour) : ça réduirait vachement les risques...
votre avatar
Il manque la chronologie dans l'histoire pour en être sûr. Et l'article précise bien qu'il y a eu la création de 3 comptes utilisateurs frauduleux.

L'exfiltration de données peut se réaliser sur la durée. Extraire en masse c'est ce qui fait paniquer un SOC un principe (quand il y en a un et que la chaîne d'audit est présente, bien entendu).

Après, il est difficile de limiter le nombre maximum de fiches autorisées à traiter. Il se passe quoi si l'agent est bloqué avec une file d'attente qui s'impatiente ? Il doit téléphoner au support pour demander une extension de droits ? Qu'est-ce qui dit que ce n'est pas un appel frauduleux ?

On en revient à ce que je disais en #4 : doser la sécurité et la dégradation du geste métier.

Pour avoir bossé pour l'IT de l'Assedic, j'ai eu l'occasion de voir les risques encourus par les agents sur site quand j'y intervenais, lorsqu'un type débarque en furie et gueule parce qu'il a pas touché ses allocs et que la nana est toute seule à l'accueil. Ce genre de problématique ne se résout pas de manière simple. Un parallèle non technique : je te laisse imaginer les engueulades que tu peux voir entre le juridique et le métier dans d'autres domaines où l'un veut respecter la loi et l'autre veut faire du business.
votre avatar
On parle d'un agent externe d'une mission locale, il n'a pas besoin de consulter la fiche de tata germaine qui est inscrite à la mission locale à l'autre bout de la France.

Tu limites au max au département, les gens qui vont en mission locale, c'est pas pour aller à trifouilli la galette pour bosser.

Et l'article parle de 2 comptes frauduleux et non 3, et d'un compte légitime vérolé celui qui a servi à créer les deux autres, ça fait 3 comptes suspendus, le compte est bon ;)
votre avatar
Y'a malgré tout un monde entre rendre possible de voir plusieurs centaines de fiches par jour et arriver à exfiltrer 1,6 millions de comptes. Même à 300 par jour, il faudrait 14 ans pour extraire les 1,6M de fiches personnelles...
Et là, je pars du principe que chaque compte à le droit de voir 100 fiches par jour et 7j/7.
Donc en fait, il n'ont pas de limite, apparemment.
votre avatar
Je ne dis pas qu'il n'y a pas de faille. Je dis juste que ce sont des débats loin d'être évidents.
votre avatar
Oui, il peut y avoir de fortes tensions entre les bonnes pratiques de sécurité (des manuels disons) et les réalités du terrain. Paradoxalement, la sécurisation mal pensée peut... tuer des gens. J'avais lu un article sur les défis de la sécurisation de la partie IT des hôpitaux, c'était édifiant car oui, les besoins sont spécifiques et il n'est pas simple de partager un appareil/des données dont l'accès est vital et urgent tout en respectant la sécurité (informatique).
votre avatar
4 en 2 ans, et ils en sont à dire: "France Travail va désormais aller plus loin en mettant en place une sensibilisation obligatoire à renouveler tous les 6 mois pour tous les collaborateurs de nos partenaires qui conditionnera leur accès au système d’information."

Sérieux?

Bon ben à dans 5 mois pour la 5e.
votre avatar
le problème c'est pas France Travail en soit, c'est le suivi des règles par ceux qui suivent les formation sur la gestion de l'accès.

Exemple équivalent, tu ouvre un compte bancaire avec une carte, le code est strictement personnel.
Ton gamin voit le code quand tu fais les courses, il tire 50 balles au distributeur avec ta carte, le défaut confidentialité il est où ? Ta banque n'est pas responsable, elle t'as donné les outils et les règles pour protéger ton argent, t'as pas fait le taf.
Là c'est pareil, France Travail c'est la banque, le gestionnaire de compte c'est toi, les petits malins sont ceux qui ont pu créer des comptes frauduleux et récupérer les données (le distributeur et les billets).
votre avatar
Si, c'est complètement le problème de France Travail. En soit.

Faut pas pousser. Ils doivent contrôler ce qui se passe. La gestion de la sous-traitance, c'est pas pour les chiens. La gestion des accès non plus. Exfiltrer des données ne devrait plus être possible, encore moins vu le passif.

Sinon, c'est bon, on continue avec une fuite majeure tous les 6 mois et on dit juste "ah ben c'est pas de chance dis donc. On va faire une réunion interministérielle pour en discuter parce que houlala, pfiou..."

Là, leur "sensibilisation 1 fois tous les 6 mois", c'est pas ce que j'appelle avoir pris la mesure du problème. Déjà 1. de la sensibilisation digne de ce nom, c'est pas des one shots éparpillés dans le temps, et 2. c'est tout? Vraiment? Genre on sensibilise et tout est réglé y aura plus jamais de fuite?

À quoi bon se casser le cul à essayer de faire les choses correctement dans mon boulot si l'approche de FT est suffisante? Y a qu'à prendre ça par dessus la jambe et tout ira mieux... :roll:


Ce serait la 1e fois, ça ferait chier comme pour tous les autres qu'on a à longueur de temps. Mais bon...
Là, chez FT, c'est non-stop!

Et ils sont manifestement beaucoup plus forts pour trouver des excuses que des solutions.


Je sais pas moi, vous imaginez la même chose avec Interpol par exemple? "Ah ben ils y peuvent rien, vous voyez, c'est comme la banque et votre gamin..." Genre, juste, non! Et de fait ça n'arrive pas. Et si ça arrivait, il est inimaginable que ça se reproduise, 4 FOIS EN 2 ANS!
votre avatar
Tu mélanges utilisateurs et fournisseurs, qui sont deus choses bien distincts.

Je ne dis pas non plus que France Travail est 100% innocent, mais en revanche, le suivi des règles par un utilisateur n'est pas de sa responsabilité mais de celle de l'utilisateur ayant un compte à privilèges.

L'utilisateur n'est pas un employé FT mais "ML" (Mission Locale), soit une structure semi-indépendante.
En gros c'est Utilisateur MS FT et non Utilisateur FT comme tu l'entends.

La comparaison avec le secteur bancaire était voulue, le client signe un contrat avec sa banque pour la remise d'une carte, comme la MS à signé un contrat de service avec FT.
L'enfant dans mon exemple à un contrat moral avec le parent, l'utilisateur avait un contrat de travail avec la MS.

FT est responsable de mettre en place les règles pour que ça se passe bien, en revanche, l'usage abusif et le non respect des règles de sécurité est de la responsabilité de l'utilisateur et de la MS.
votre avatar
tout dépend où l'organisme met la priorité. Dans une banque, un employé (même un employé d'un partenaire ou d'un prestataire de la banque) ne pourra pas retirer de l'argent à la place de quelqu'un d'autre. Avec France Travail, c'est un peu plus possible de transgresser les sécurités et les procédures informatiques.
votre avatar
Vont-ils enfin réfléchir un jour à sécuriser leur infrastructure? Ou tout le budget passe déjà dans le flicage des chômeurs?
votre avatar
Le bon côté est que ça rôde l'équipe de gestion de crise.
votre avatar
elle est plus poncée que rodée à ce niveau non ? :D
votre avatar
Il y en a chez qui la cellule de crise, c'est un synonyme pour "gestion de projet".

Nouvelle fuite de données chez France Travail, 1,6 million de comptes concernés

  • 1,6 million de comptes de jeunes inscrits à la mission locale

  • Ouverture contre sécurité

  • Quatrième vol de données en deux ans

Fermer