Le communiqué initial de France Travail précisait que « la base de données qui aurait été extraite de façon illicite contient les données personnelles d’identification des personnes actuellement inscrites, des personnes précédemment inscrites au cours des 20 dernières années ainsi que des personnes non inscrites sur la liste des demandeurs d'emploi mais ayant un espace candidat sur francetravail.fr ».

« C’est donc potentiellement les données personnelles de 43 millions de personnes qui ont été exfiltrées », soulignait le communiqué.

• France Travail piraté, les données de 43 millions de personnes « potentiellement » dérobées

Or, une source proche de l'affaire nous indique que le volume de données exfiltrées ne ressemblerait pas à une exploitation de masse de la base de données de France Travail. Le nombre de personnes affectées se situerait entre 1 et 1,5 million, soit quelque 3 % de l'ensemble des personnes figurant dans la base de données.

De plus, le modus operandi des pirates laisserait entendre qu'ils ne pouvaient pas procéder à une exfiltration industrielle et massive des données, mais qu'ils n‘auraient pu effectuer que des requêtes ciblées.

Des requêtes ciblées sur un nombre limité de mots-clefs

« Des premiers éléments identifiés par France Travail », précise la procureure de la République du tribunal judiciaire de Paris, il ressort qu’entre les 6 février et 5 mars des comptes d’agents Cap Emploi (l’agence chargée des demandeurs d’emploi en situation de handicap), « habilités à accéder aux ressources présentes sur le système d’information de France Travail, avaient été utilisés pour procéder au téléchargement de données de la base des demandeurs d’emploi évaluée à 43 millions de données à caractère personnel ».

• Piratage de France Travail via Cap Emploi : trois suspects interpellés

Notre source confirme que les pirates auraient fait du « cherry-picking » en effectuant des requêtes ciblées sur un nombre limité de mots-clefs, concernant certaines zones géographiques bien particulières. Reste à savoir si France Travail (ou son prestataire) est parvenu ou parviendra à identifier les données accédées et exfiltrées par les pirates.

Notre source précise qu'elle n'est pas, en l'état, en mesure de savoir si les pirates auraient par ailleurs pu exfiltrer d'autres données, d'une autre manière. Pour autant, leur modus operandi semble indiquer qu'ils n'étaient pas en capacité d'exporter l'intégralité de la base de données, se contentant de l'interroger au moyen de quelques mots-clefs via les identifiants d'agents de Cap Emploi.

Deux frères, un étudiant, Onoff et des escroqueries

Le Parisien a appris que les enquêteurs de la brigade de lutte contre la cybercriminalité de la police judiciaire de Paris (BL2C) ont découvert que les pirates avaient utilisé l'application Onoff pour appeler, en numéro masqué, la plateforme de support de Cap Emploi.

• onoff : on a testé l’application de Taïg Khris qui multiplie les numéros de mobile

« Le faux informaticien a simplement dit qu'il avait perdu son code d'accès et qu'il faudrait réinitialiser son compte personnel », explique au Parisien une source proche du dossier.

Il y a quelques mois, l’opérateur de SIM virtuelle était déjà pointé du doigt par Gaël Mancec (juriste NTIC chez Germain Maureau) lors d’une conférence à l’Afnic : « C’est quelque chose de très légitime, mais très utilisé dans le milieu de la cybercriminalité  […] Même s’ils répondent plutôt bien aux réquisitions ».

Les enquêteurs auraient ensuite réussi à identifier les VPN, adresses IP, téléphones et puces utilisées par les pirates. Il s'agirait de deux frères de 23 et 24 ans vivant à Valence, surnommés « El inspector » et « Ramses », et d'un complice présumé, étudiant à Grenoble.

L'exploitation de leurs terminaux leur a permis de découvrir « des dizaines de milliers d'euros d'actifs en cryptomonnaies », ainsi que des messages évoquant des escroqueries aux SMS.

Toujours d'après Le Parisien, un juge d'instruction d'Avignon (Vaucluse) aurait souhaité que l'un des deux frères soit interpellé dans le cadre d'une affaire d'escroquerie et de fraude à la carte bancaire datant de 2021, qui avait vu un mineur être séquestré chez lui durant quelques heures.

« L’enquête judiciaire est en cours »

Dans son communiqué, la procureure précise que les investigations se poursuivaient, dans le cadre de l'information judiciaire, et qu'elles « auront pour objectif de rechercher d'éventuels autres acteurs et d'évaluer la part de responsabilité de chacun ».

Comme le rappelait encore récemment l’ANSSI dans son panorama sur la cybermenace, il n’est pas rare de trouver plusieurs (groupes de) pirates dans un système d’information. Seule l’enquête permettra de faire le point complet sur la situation.

• Dans l’ombre, l’ANSSI diffuse ses indicateurs de compromission
• Jeux olympiques : l’ANSSI n’a pas le droit à l’erreur et « sera prête le moment venu »

Contactée, France Travail nous répond : « l’enquête judiciaire est en cours, nous ne ferons pas de commentaire ».