Attaque d'envergure chez Pôle emploi : un prestataire de l’établissement public, Majorel, a été touché par un « acte de cybermalveillance ».
Les « nom et prénom, le statut actuel ou ancien de demandeur d’emploi ainsi que le numéro de sécurité sociale de demandeurs d’emploi pourraient être concernés », indique Pôle emploi, tandis que les « adresses e-mail, numéros de téléphone, mots de passe et coordonnées bancaires » ne seraient pas concernés.
La mission du prestataire Majorel est de numériser et traiter les documents soumis à l’institution par les demandeurs d’emploi.
Selon le Parisien, qui l’a contacté, et un communiqué ; la fuite pourrait concerner dix millions de personnes, « c’est-à-dire celles inscrites à Pôle emploi en février 2022 et celles en cessation d’inscription depuis moins de 12 mois à cette date-là ».
Pôle Emploi a signalé l’affaire à la CNIL et prévoit de déposer une plainte. Il est recommandé aux personnes qui pourraient être visées de « rester vigilants face à tout type de démarche ou proposition qui pourrait paraître frauduleuse ».
L’établissement contactera personnellement chaque personne visée par le vol.
Commentaires (45)
10 millions d’appels personnels !
Au moins ils trouveront du job a quelques un : l’armée de prestas qui va devoir contacter les gens …
Le 1er lien indique :
Merci pour la précision !
La fuite du numéro de sécurité sociale est absolument gravissime ! 😱
en quoi c’est gravissime ? Je sais que c’est une donnée de santé, mais en quoi est-elle si importante ?
Comme recevoir un mail de Pole Emploi qui te dit que ton compte a été piraté ?
Encore moins crédible : qu’ils t’ont trouvé un boulot
(de toutes façons suffit de traverser la rue il parait, du coup je ne comprend pas pourquoi on a pas encore liquidé ce truc coûteux et qui ne sert plus à rien 
)
“février 2022 […] depuis moins de 12 mois à cette date-là”
Faut-il y voir que l’acte de cybermalveillance à eu lieu à cette date là, ce qui voudrait dire qu’ils ont mis 1 an et demi pour s’en rendre compte ?
Ou plutôt qu’une ancienne sauvegarde à été accédée, et pas le système courant ?
Alors, on se plaint que Pole Emploi fait mal son taff et ne cherche pas pour les demandeurs.
Et maintenant qu’ils arrosent pour présenter les profils en masse on se plaint, faudrait savoir !
Blague à part, c’est malheureusement le risque de toutes ces bases de données centralisées contenant énormément d’informations personnelles et confidentielles. Et est-ce que les prestataires chargés de les traiter ont été bien audités avant ? Je sais que certaines entreprises le font de manière assez poussées, d’autres se content d’une ligne dans le contrat.
Et sur ce point, j’ai retoqué plus d’un projet qui comptait élargir le scope de traitement de données confié à un prestataire en ajoutant des données perso sans même avoir étudié la capacité du presta à le faire (et c’est comme ça qu’on fini avec de la donnée perso ou critique chez AWS aux USA, youpi).
On a du mal à s’en rendre compte quand on est dans la technique pure, mais une bonne partie des points d’attention sur un projet IT sont clairement d’ordre juridique.
C’est une plaie qui grandit un peu plus chaque jour les prestataires qui causent de nombreuses failles.
Mais c’est galère à recenser tous les prestataires, même d’une PME et je ne parle pas de les **catégoriser **et encore moins de prévoir des **remplacer **en cas d’indicateurs de sécurité inquiétants. Le plan assurance sécurité permet d’en savoir plus sur leur façons de faire mais encore faut-il qu’il soit à jour et exhaustif.
Ce n’est pas encore entré dans les moeurs de demander toutes les mesures de sécurité aux nouveaux sous-traitants. De mon expérience personnelle, la santé publique fait de gros efforts pour récupérer ces informations depuis peu. Je pense que pôle emploi a fait ses devoirs ou du moins je l’espère.
Non seulement ça n’est pas dans les moeurs (cf les expériences professionnelles que j’ai partagé), mais en plus du dois te battre pour ça. Comme si prévenir de la mise en danger de la responsabilité juridique de l’entreprise était une anomalie
Une bonne partie du temps, je passe pour le connard qui empêche d’avancer.
Travaillant souvent en tant que sous-traitant d’institutions de santé publique, j’ai la vision des ST. Quand tous tes clients t’envoient un formulaire différents demandant les mêmes informations, cela peut être pénible & chronophage de devoir remplir tous leur trucs.
Nous avons pourtant des documents standard mais on sent quelques fois la flemme les envahir et le document n’est pas lu.
Pour le cas que tu cites, je me dis que cela leur demande beaucoup d’efforts pour rassembler les informations demandées et ils sont énervés qu’ils aient à faire ça (ce n’est pas leur boulot après tout…). Je pense que ça révèle simplement que les boites concernées sont immatures sur leur système d’informations et n’ont pas pris le temps et l’énergie de documenter.
C’est effectivement un problème cette absence de standardisation des documents (il serait intéressant que la CNIL produise un questionnaire type si ce n’est déjà fait). Et je la vois même en interne dans les entreprises où les architectes et la sécurité ont généralement pour ainsi dire 40% de questions communes envoyées aux éditeurs lors des appels d’offres.
Du point de vue de l’entreprise candidate à l’appel d’offre, c’est effectivement déroutant.
Inscrites en février 2022 = dont l’inscription a été faite avant, jusq’en février 2022 ? Ou uniquement celles qui se sont inscrites en février 2022 (et pas janvier ou mars) ?
C’est l’identifiant unique de l’administration… et contrairement aux autres identifiants qu’on peut avoir, il ne se réinitialise pas.
Il contient la date de naissance et je crois que certains serives bien au tacquet proposent l’année de naissance comme mot de passe par défaut…
Bref, prochainementla vie va être compliquée pour pas mal de monde.
Heureusement Pôle-Emploi va créer un service joignable d’accompagnement pour les victimes d’usurpation d’identités. N’est-ce pas? Hein? Dites?
Si quelqu’un a ton numéro il a ton genre, ta date de naissance, ton département de naissance et ta commune de naissance.
C’est aussi un numéro qui est jugé connu de toi uniquement (même si on sait tous que ce n’est pas forcément le cas), donc si tu donnes le numéro par téléphone pour avoir des renseignement médicaux il y a plus de chances que tu les obtiennes.
Je pense que ce n’est plus le cas, mais les infos de date et de lieu de naissance étaient utilisés (avec d’autres) pour valider l’identité de quelqu’un par téléphone pour les banques.
Bref ça simplifie l’usurpation d’identité (et comme l’a dit skan, ça ne se change pas).
Je trouve cela fou, comment est-ce possible qu’une base de données si importante soit exposée…
A-t-on des détails de l’attaque ?
” adresses e-mail, numéros de téléphone, mots de passe et coordonnées bancaires » ne seraient pas concernés.
pas si sur: https://twitter.com/_SaxX_/status/1694984575204659290
Ton sexe : 1 pour homme et 2 pour femme (il n’y a pas de 1,5 ou 3)
J’ai hésité par ce que je me doutais bien qu’on allait rebondir dessus …
J’ai repris le terme de la source et quand j’ai voulu savoir si on pouvait changer de numéro j’ai apris que c’était possible pour les personnes qui ont fait une transition suite à un changement d’état civil.
(du coup, si vous faites partie des 10 millions vous savez ce qu’il faut faire pour changer de numéro ;) )
Je ne connais pas les règles pour le changement de mention du sexe à l’état civil, donc je pense que le terme genre est plus adapté.
Si il n’avait pas été possible de changer de numéro j’aurai utilisé le terme “sexe à la naissance”.
Je n’ai pas envie de discuter de l’idéologie derrière ces termes, j’essaie juste d’être sémantiquement correct et je pense l’avoir été. Je ne pense pas qu’il soit nécessaire d’aller plus loin dans le hors sujet.
Merci pour le lien, la bonne nouvelle c’est qu’il confirme ce que je disais à savoir que c’est bien le sexe tel que défini par l’état civil qui est associé au numéro de sécurité social.
La surprise c’est que je n’avais pas percuté sur le détail de la loi de 2016 qui potentiellement annule la prise en compte des critères biologiques pour déterminer le sexe des citoyens majeurs. Seule l’apparence (identité de genre) est requise.
Ce n’est pas woke compliant tout ça !
Même question.
EDIT: à supprimer, j’avais mal lu.
Il semblerait que non
Il est possible d’avoir une indication de sexe sur les actes d’état civil différente de ce que l’on a entre les jambes.
C’est un acte administratif et ça a été décidé comme ça.
Ces commentaires ne sont pas le lieu pour discuter de ces conditions, je fais mon possible pour me limiter au contexte administratif. Ce sujet est un appeau à troll et ça va juste mener à une modération des commentaires.
Il y a 5 à 6 millions de demandeurs d’emploi à un instant T. 10 millions de personnes passent par pôle-emploi chaque année ? Ça paraît beaucoup non ?
On n’est pas forcément demandeur d’emploi toute l’année. Et même, il suffît d’avoir été inscrit une fois pour être dans les bases de données de Pôle emploi.
D’ailleurs, je n’ai pas bien compris quels sont les personnes impactées ?
Tes chiffres sont bons quand on compte toutes les catégorie d’inscrits à Pôle Emploi.
La durée moyenne d’inscription est de l’ordre de 10 mois en 2022 avec donc une partie des gens qui restent moins longtemps (en particulier les jeunes - de 180 jours pour les moins de 25 ans)
Ce qui fait qu’effectivement, sur un an, on cumule des inscrits différents. Ça semble cohérent de tomber sur 10 millions.
Une de mes deux cartes commence par 3 …. Suis-je un escargot ?
Ou peut-être un castor lapon ?
C’est une carte temporaire selon Wikipédia :
https://fr.m.wikipedia.org/wiki/Num%C3%A9ro_de_s%C3%A9curit%C3%A9_sociale_en_France#Signification_des_chiffres_du_NIR
Vu que personne ne l’a encore faite
j’espère qu’on leur couper leur accès internet après ce manque de sécurisation manifeste 
C’est bien la France ça ! Pour une fois que Pôle emploi prend sa mission à cœur.
On diffuse massivement les CV des demandeurs d’emploi et ça rale !
ah la la la…
En fait si : il y en a qui commencent par 3, 4, 7 ou 8 (ce sont des numéros provisoires)
Le lien que tu donnes mélange 2 vols de données, dont l’un en 2021
https://www.bfmtv.com/tech/pole-emploi-ouvre-une-enquete-apres-la-vente-d-une-base-de-donnees-personnelles_AN-202106140335.html
Je ne sais pas si cette réflexion est pertinente vu que dans l’hypothèse de cette fuite le pirate a déjà plein de données «officielles» sur moi.
je cherche à remplacer gandi et ses alias dynamiques. J’ai découvert SimpleLogin (racheté par Proton et aussi inclus dans une de leurs offres) via linuxfr qui a une stratégie différente, un alias @simplelogin au lieu d’un alias @mondomaine.
Si je suis victime de cette fuite alors mon alias moi-poleemploi@mondomaine a fuité, ou alors mon alias trucpoleemploi@simplelogin a fuité. Dans les deux cas si quelqu’un l’utilise je peux savoir que ça vient de pôle emploi et donc potentiellement de la fuite, dans les deux cas je peux en créer un nouveau. Juste dans le 1er cas je donne au pirate mon nom de domaine associé à mon identité, alors que dans le 2e cas il a un alias avec un nom de domaine générique. Je peux supprimer un alias manuel chez gandi, pas un dynamique sauf à supprimer les autres avec ; chez simplelogin je peux désactiver chaque alias manuel, les dynamiques je crois qu’il y en a maintenant mais je ne pourrai pas le supprimer non plus sans supprimer le reste logiquement.
Si le pirate a mon domaine et mon identité alors s’il récupère d’autres alias@mondomaine dans d’autres fuites alors il pourra les lier de façon certaine à mon identité, alors que si j’utilise simplelogin même avec un alias dynamique ce sera plus compliqué. Donc le domaine perso me semble plus résilient au niveau changement d’hébergeur et simplelogin plus discret au niveau recoupement d’infos.
Vous en pensez quoi ? La question mérite d’être posée ou est idiote ?
Ou que ton conseiller a trouvé un poste en or
je sais qu’informatiquement c’est impossible, mais 1.5 ça pourrait être les les intersexes (le «I» de «LGBTQIA+»)
Les enfants intersexes ont subi des mutilations dans le but de les rendre conformes à la norme binaire. Ces mutilations ont seulement été interdites fin 2022 (!).
Reportage où Vincent Guillot parle de son combat contre ces mutilations et de ses séquelles» et d’autres intervenants parlent entre autres de l’autodétermination et le droit à la vie privée, qui justifie pour les trans et intersexes la possibilité de dissociation entre sexe social (genre) et sexe anatomique.
Océan, un homme (trans), donne la parole à Mö, qui raconte les interventions subies, le but étant la possibilité de pénétration, ses séquelles médicales, et son vécu. Je déconseille de regarder ça en train de manger.
Faustine Bollaert reçoit des personnes parents qui ont un enfant intersexe ainsi que Clémence, qui assume son ambiguïté. Clémence n’avait pas un corps ambigu à la naissance, c’est venu à la puberté.
La série Chair tendre (replay france.tv) que je n’ai pas encore regardée parle d’une ado intersexe.
Mais ouais, mais non !! Ne faites pas ça sur des postes reliés à l’Internet ! Il manque vraiment une épée de Damoclès (peines lourdes, indemnisations des victimes de fuites) pour qu’on revienne sur cette si confortable modernité qui expose nos vies privées aux quatre vents !
Je suis actuellement inscrit chez pole emploi et voici le mail que j’ai reçu :
Bonjour,
Suite à un acte de cyber malveillance dont l’un de nos prestataires a été victime, des informations personnelles vous concernant sont susceptibles d’être divulguées.
Vos nom et prénom, votre statut actuel ou ancien de demandeur d’emploi ainsi que votre numéro de sécurité sociale pourraient être concernés.
Vos adresses e-mail, numéros de téléphone, mots de passe et coordonnées bancaires ne sont en revanche pas concernés.
Il n’existe pas de risque concernant votre indemnisation, votre accompagnement proposé par Pôle emploi ni l’accès à votre espace personnel sur pole-emploi.fr.
Nous vous invitons toutefois à rester vigilant quant aux risques d’hameçonnage (« phishing ») ou de tentatives d’usurpation d’identité.
Pour rappel, ne communiquez jamais vos identifiants et mot de passe par téléphone ou par mail, ni vos coordonnées bancaires : Pôle emploi ou tout autre organisme public ne vous les demanderont jamais.
https://www.pole-emploi.fr/candidat/soyez-vigilants.html
Vous pouvez retrouver tous les conseils et informations également sur le site
https://www.cybermalveillance.gouv.fr/
Si vous souhaitez plus de précisions, nous vous invitons à contacter le 3949.
Conformément à ses obligations au titre du Règlement général sur la protection des données (RGPD), Pôle emploi a procédé à une notification auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL).
Nous sommes sincèrement désolés pour cet incident que nous déplorons.
Cordialement,
Pôle emploi
J’ai reçu exactement le même mail. Je ne suis plus inscrit à Pôle Emploi depuis mars 2022.
Extrait :
J’adore l’emploi du conditionnel pour ce qui est des informations personnelles révélées et l’emploi de l’indicatif concernant les informations restées confidentielles. Quand je pense qu’on oblige les gens à utiliser la plateforme pole-emploi.fr pour surveiller leurs activités de recherche d’emploi et qu’on complique le parcours administratif des personnes qui veulent tout faire par courrier postal ou par téléphone, quelle bande de capos.
C’est un peu plus compliqué (il faut prouver que c’est bien c’est le genre qu’on utilise tous les jours), mais dans l’idée c’est ça, c’est pour ça que j’ai utilisé genre dans ma première intervention
Après il n’y a effectivement que 1 et 2 (sauf exceptions qui ne sont pas liées au genre), pas d’androgyne ou autre.
Si j’en crois cet article à la base le NIR servait juste pour répertorier les hommes mobilisables et le premier chiffre était une feinte pour en cacher l’objectif …
Encore un héritage de la 2 eme guerre mondiale dont on se passerait bien (par ce que je ne suis pas certain que ce soit utile et ça fait une donner personnelle en moins à partager).
Au quotidien, la difficulté est de répondre à la question de la boutique: vous avez un compte client chez nous ? Pouvez-vous me communiquer l’adresse email de votre compte ?
)
Moi : Euh oui, donnez moi une minute déverrouille son téléphone, lance SimpleLogin, recherche le compte par mot-clé
Ou question alternative: je vous envoie la facture par email ? C’est bien cette adresse email ?
Moi : Oui, c’est celle-là (intérieurement: je crois
Une seule fois je me suis fait refusé ma demande de création de compte sur un site parce que le nom de domaine utilisé (8alias.com) a été identifié comme un site d’alias et que si je voulais vraiment utiliser cet alias, il fallait écrire un mail au support. Jamais eu de retour de leur part.
merci