France Travail piratéFlock

Changer de Cap demande aux administrations de garantir la sécurité des données des Français

Par Vincent Hermann

Le 19 Avril 2024 à 07:19
Sécurité
2 min 10

France Travail piratéFlock

43 millions de personnes « potentiellement » concernées par l’attaque de France Travail début 2024, 10 millions de personnes touchées par le vol de données de Majorel, le prestataire privé de pôle emploi en août 2023, 10 000 allocataires concernées par l’exposition des données de la CAF de Gironde en janvier 2023…

« Dire que cela commence à faire – vraiment – beaucoup est un euphémisme », s’indigne le collectif Changer de Cap, qui qualifie l’attitude des administrations en matière de cybersécurité de « désinvolte ».

Le collectif rappelle que la loi Informatique et Libertés comme le RGPD impose à ces acteurs de « prévenir toute violation des données personnelles », et s’étonne que des entités comme France Travail, opérateur de service essentiel, n’aient pas été plus diligentes dans la protection de leurs systèmes et des informations que ceux-ci hébergent.

Il regrette, enfin, le manque d’information des victimes (c’est-à-dire des demandeurs d’emploi), ainsi que l’absence de mentions de la responsabilité de France Travail dans la récente fuite.

Commentaires (10)


refuznik Abonné
Le 19/04/2024 à 07h56
Bah tout simple, vu que les accès illégitimes ne relèvent pas du détournement de comptes d'utilisateurs de Pôle Emploi, mais bien de ceux d'un partenaire. Autrement dit, des utilisateurs externes à l'organisation avaient accès à un ensemble de données personnelles concernant l'ensemble des demandeurs ou inscrits depuis 20 ans ! Une énormité qui trouve son origine dans la loi Plein Emploi, du 18 décembre 2023, instituant la naissance du réseau France Travail, impliquant un travail plus collégial de l'ex-Pôle Emploi et d'un certain nombre de partenaires externes.

Comme le disent les syndicats qui pointent aujourd'hui les lacunes de cette mise en réseau en termes de cybersécurité. « En raison de la loi Plein Emploi, des partenaires ont désormais des habilitations d'accès aux données de Pôle Emploi, alors que leur compartimentation n'a pas pu être effectuée en amont de ces ouvertures à des partenaires. Sous la pression des résultats, la DSI de Pôle Emploi s'est fait imposer la mise en place d'habilitations d'accès au système d'information, d'abord pour Cap Emploi. Une ouverture qui doit être étendue demain aux Missions locales et à des opérateurs privés de placement. L'exfiltration de données révélée le 13 mars résulte donc d'abord d'un problème de gouvernance de données. »
Modifié le 19/04/2024 à 07h57

Historique des modifications :

Posté le 19/04/2024 à 07h56


Bah tout simple, vu que les accès illégitimes ne relèvent pas du détournement de comptes d'utilisateurs de Pôle Emploi, mais bien de ceux d'un partenaire. Autrement dit, des utilisateurs externes à l'organisation avaient accès à un ensemble de données personnelles concernant l'ensemble des demandeurs ou inscrits depuis 20 ans ! Une énormité qui trouve son origine dans la loi Plein Emploi, du 18 décembre 2023, instituant la naissance du réseau France Travail, impliquant un travail plus collégial de l'ex-Pôle Emploi et d'un certain nombre de partenaires externes.

Comme le disent les syndicats qui pointent aujourd'hui les lacunes de cette mise en réseau en termes de cybersécurité. « En raison de la loi Plein Emploi, des partenaires ont désormais des habilitations d'accès aux données de Pôle Emploi, alors que leur compartimentation n'a pas pu être effectuée en amont de ces ouvertures à des partenaires. Sous la pression des résultats, la DSI de Pôle Emploi s'est fait imposer la mise en place d'habilitations d'accès au système d'information, d'abord pour Cap Emploi. Une ouverture qui doit être étendue demain aux Missions locales et à des opérateurs privés de placement. L'exfiltration de données révélée le 13 mars résulte donc d'abord d'un problème de gouvernance de données. »

KMD55
Le 19/04/2024 à 09h34
J'ai reçu un mail soit-disant de pole emploi / france travail m'informant de la fuite. Il est arrivé en spam directement, il contenait plein de liens dans le texte dont aucun ne renvoyait vers un site officiel, que du tracking via un domaine à la noix comme n'importe quel mail de pub.
Je n'ai jamais réussi à savoir si c'était un vrai ou un phishing très bien fait, et pourtant je ne pense pas non-plus être né de la dernière pluie.
Si c'est un vrai, c'est n'importe quoi.
Patch Abonné
Le 19/04/2024 à 10h13
Si c'est un mail de pole emploi avec des liens en dmcv2.pole-emploi.sfr-sh.fr/sm/(beaucoupdecaractères), c'est un vrai mail, ca fait des années qu'ils passent par pole-emploi.sfr-sh.fr pour les liens dans leur mail, c'est le service de diffusion de masse des services hébergés par SFR (les adresses complexes servent probablement pour des stats chez SFR).
dolphin42
Le 19/04/2024 à 12h06

Patch

Si c'est un mail de pole emploi avec des liens en dmcv2.pole-emploi.sfr-sh.fr/sm/(beaucoupdecaractères), c'est un vrai mail, ca fait des années qu'ils passent par pole-emploi.sfr-sh.fr pour les liens dans leur mail, c'est le service de diffusion de masse des services hébergés par SFR (les adresses complexes servent probablement pour des stats chez SFR).
Je confirme, tous les liens sont en "dmcv2.pole-emploi.sfr-sh.fr" dans le mail "Alerte cyberattaque" que France Travail m'a envoyé (reçu hier).
fred42 Abonné
Le 19/04/2024 à 10h20
J'avais signalé il y a une semaine avoir reçu ce mail sous le dernier article parlant du sujet. Et je l'ai fait suivre à JMM à sa demande.

Il venait très probablement bien de Pôle Emploi mais j'avais remarqué la même chose que toi au niveau du tracking, on finit par tomber sur des sites fiables. Et comme toi, c'était directement dans les spams de gmail.

Cette brève me rappelle qu'il faut que je demande des comptes au dpo de France Travail.

Leur formulaire pour le faire est structuré de telle façon que ça va être compliqué parce que je veux aborder plusieurs sujets et qu'il ne faut cocher qu'un motif. Et comme leur réponse ne me satisfera pas (sur le fait que les gens de Cap Emploi avaient accès à mes données alors que je ne suis pas en recherche d'emploi et que je ne suis pas en situation de handicap), j'enchaînerai sur la CNIL pour punir France Emploi pour non respect du RGPD (minimisation des personnes ayant accès au données).

Si quelqu'un a une adresse mail du dpo de l'IdF (leur formulaire est régional) ou d'un dpo national, qu'il nous la donne ici.
refuznik Abonné
Le 19/04/2024 à 10h52

fred42

J'avais signalé il y a une semaine avoir reçu ce mail sous le dernier article parlant du sujet. Et je l'ai fait suivre à JMM à sa demande.

Il venait très probablement bien de Pôle Emploi mais j'avais remarqué la même chose que toi au niveau du tracking, on finit par tomber sur des sites fiables. Et comme toi, c'était directement dans les spams de gmail.

Cette brève me rappelle qu'il faut que je demande des comptes au dpo de France Travail.

Leur formulaire pour le faire est structuré de telle façon que ça va être compliqué parce que je veux aborder plusieurs sujets et qu'il ne faut cocher qu'un motif. Et comme leur réponse ne me satisfera pas (sur le fait que les gens de Cap Emploi avaient accès à mes données alors que je ne suis pas en recherche d'emploi et que je ne suis pas en situation de handicap), j'enchaînerai sur la CNIL pour punir France Emploi pour non respect du RGPD (minimisation des personnes ayant accès au données).

Si quelqu'un a une adresse mail du dpo de l'IdF (leur formulaire est régional) ou d'un dpo national, qu'il nous la donne ici.
Si c'est pourquoi France Travail conserve-t-il les données des demandeurs d'emploi pendant 20 ans ?
Tout simplement, parce que c'est la loi, le code du travail indique : « Les données à caractère personnel et les informations enregistrées dans le système d'information sont conservées pendant une durée maximum de vingt années à compter de la cessation d'inscription sur la liste des demandeurs d'emploi. »

https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032625875
fred42 Abonné
Le 19/04/2024 à 11h03

refuznik

Si c'est pourquoi France Travail conserve-t-il les données des demandeurs d'emploi pendant 20 ans ?
Tout simplement, parce que c'est la loi, le code du travail indique : « Les données à caractère personnel et les informations enregistrées dans le système d'information sont conservées pendant une durée maximum de vingt années à compter de la cessation d'inscription sur la liste des demandeurs d'emploi. »

https://www.legifrance.gouv.fr/codes/article_lc/LEGIARTI000032625875
J'ai déjà indiqué que ces 20 ans sont un maximum et ne doivent pas être la règle si l'on suit le RGPD.

Mais mon reproche majeur n'est pas là. C'est que des "partenaires" (Cap Emploi) aient accès à mes données personnelles alors qu'elle ne le devraient pas pour les raison que je viens d'indiquer.

Le 2 de l'article 25 du RGPD est pourtant très clair :
Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s'applique à la quantité de données à caractère personnel collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée.


Et d'après ce que tu as dit dans ton premier commentaire, cela a été violé délibérément. D'ailleurs, merci de me donner la source de ta citation, j'ai bien envie de l'utiliser.
refuznik Abonné
Le 19/04/2024 à 12h17

fred42

J'ai déjà indiqué que ces 20 ans sont un maximum et ne doivent pas être la règle si l'on suit le RGPD.

Mais mon reproche majeur n'est pas là. C'est que des "partenaires" (Cap Emploi) aient accès à mes données personnelles alors qu'elle ne le devraient pas pour les raison que je viens d'indiquer.

Le 2 de l'article 25 du RGPD est pourtant très clair :
Le responsable du traitement met en œuvre les mesures techniques et organisationnelles appropriées pour garantir que, par défaut, seules les données à caractère personnel qui sont nécessaires au regard de chaque finalité spécifique du traitement sont traitées. Cela s'applique à la quantité de données à caractère personnel collectées, à l'étendue de leur traitement, à leur durée de conservation et à leur accessibilité. En particulier, ces mesures garantissent que, par défaut, les données à caractère personnel ne sont pas rendues accessibles à un nombre indéterminé de personnes physiques sans l'intervention de la personne physique concernée.


Et d'après ce que tu as dit dans ton premier commentaire, cela a été violé délibérément. D'ailleurs, merci de me donner la source de ta citation, j'ai bien envie de l'utiliser.
No problemo, tu trouveras sur le site de LMI la reprise du mail de la section CGT de la DSI de France Travail mettant en exergue les lacunes de la mise en oeuvre opérationnelle --> Piratage-de-france-travail-aux-origines-du-mal
Winderly Abonné
Le 19/04/2024 à 20h53
"43 millions de personnes « potentiellement » concernées par l’attaque de France Travail début 2024"

J'ai reçu un mail générique de France Travail à ce sujet samedi dernier. :mdr2:
TroudhuK Abonné
Le 23/04/2024 à 20h55
Ça s'appelle demander l'impossible. Ils devraient demander la mise hors-ligne de toute donnée personnelle.
Fermer