Connexion
Abonnez-vous

Pôle emploi : les données de dix millions de demandeurs d’emploi dans la nature

Pôle emploi : les données de dix millions de demandeurs d’emploi dans la nature

Le 25 août 2023 à 06h56

Attaque d'envergure chez Pôle emploi : un prestataire de l’établissement public, Majorel, a été touché par un « acte de cybermalveillance ».

Les « nom et prénom, le statut actuel ou ancien de demandeur d’emploi ainsi que le numéro de sécurité sociale de demandeurs d’emploi pourraient être concernés », indique Pôle emploi, tandis que les « adresses e-mail, numéros de téléphone, mots de passe et coordonnées bancaires » ne seraient pas concernés.

La mission du prestataire Majorel est de numériser et traiter les documents soumis à l’institution par les demandeurs d’emploi.

Selon le Parisien, qui l’a contacté, et un communiqué ; la fuite pourrait concerner dix millions de personnes, « c’est-à-dire celles inscrites à Pôle emploi en février 2022 et celles en cessation d’inscription depuis moins de 12 mois à cette date-là ».

Pôle Emploi a signalé l’affaire à la CNIL et prévoit de déposer une plainte. Il est recommandé aux personnes qui pourraient être visées de « rester vigilants face à tout type de démarche ou proposition qui pourrait paraître frauduleuse ».

L’établissement contactera personnellement chaque personne visée par le vol. 

Le 25 août 2023 à 06h56

Commentaires (44)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar

L’établissement contactera personnellement chaque personne visée par le vol.


10 millions d’appels personnels !
Au moins ils trouveront du job a quelques un : l’armée de prestas qui va devoir contacter les gens …

votre avatar

:non:



Le 1er lien indique :




Pôle emploi prendra contact avec l’ensemble des demandeurs d’emploi concernés par cet acte de malveillance par mail dans les meilleurs délais.


votre avatar

Merci pour la précision !

votre avatar

La fuite du numéro de sécurité sociale est absolument gravissime ! 😱

votre avatar

en quoi c’est gravissime ? Je sais que c’est une donnée de santé, mais en quoi est-elle si importante ?

votre avatar

Il est recommandé aux personnes qui pourraient être visées de « rester vigilants face à tout type de démarche ou proposition qui pourrait paraître frauduleuse ».


Comme recevoir un mail de Pole Emploi qui te dit que ton compte a été piraté ? :mad2:

votre avatar

Encore moins crédible : qu’ils t’ont trouvé un boulot :transpi: (de toutes façons suffit de traverser la rue il parait, du coup je ne comprend pas pourquoi on a pas encore liquidé ce truc coûteux et qui ne sert plus à rien :troll: )

votre avatar

“février 2022 […] depuis moins de 12 mois à cette date-là”
Faut-il y voir que l’acte de cybermalveillance à eu lieu à cette date là, ce qui voudrait dire qu’ils ont mis 1 an et demi pour s’en rendre compte ?
Ou plutôt qu’une ancienne sauvegarde à été accédée, et pas le système courant ?

votre avatar

Alors, on se plaint que Pole Emploi fait mal son taff et ne cherche pas pour les demandeurs.



Et maintenant qu’ils arrosent pour présenter les profils en masse on se plaint, faudrait savoir !



Blague à part, c’est malheureusement le risque de toutes ces bases de données centralisées contenant énormément d’informations personnelles et confidentielles. Et est-ce que les prestataires chargés de les traiter ont été bien audités avant ? Je sais que certaines entreprises le font de manière assez poussées, d’autres se content d’une ligne dans le contrat.



Et sur ce point, j’ai retoqué plus d’un projet qui comptait élargir le scope de traitement de données confié à un prestataire en ajoutant des données perso sans même avoir étudié la capacité du presta à le faire (et c’est comme ça qu’on fini avec de la donnée perso ou critique chez AWS aux USA, youpi).



On a du mal à s’en rendre compte quand on est dans la technique pure, mais une bonne partie des points d’attention sur un projet IT sont clairement d’ordre juridique.

votre avatar

C’est une plaie qui grandit un peu plus chaque jour les prestataires qui causent de nombreuses failles.
Mais c’est galère à recenser tous les prestataires, même d’une PME et je ne parle pas de les catégoriser et encore moins de prévoir des remplacer en cas d’indicateurs de sécurité inquiétants. Le plan assurance sécurité permet d’en savoir plus sur leur façons de faire mais encore faut-il qu’il soit à jour et exhaustif.



Ce n’est pas encore entré dans les moeurs de demander toutes les mesures de sécurité aux nouveaux sous-traitants. De mon expérience personnelle, la santé publique fait de gros efforts pour récupérer ces informations depuis peu. Je pense que pôle emploi a fait ses devoirs ou du moins je l’espère.

votre avatar

swiper a dit:


Ce n’est pas encore entré dans les moeurs de demander toutes les mesures de sécurité aux nouveaux sous-traitants. De mon expérience personnelle, la santé publique fait de gros efforts pour récupérer ces informations depuis peu. Je pense que pôle emploi a fait ses devoirs ou du moins je l’espère.


Non seulement ça n’est pas dans les moeurs (cf les expériences professionnelles que j’ai partagé), mais en plus du dois te battre pour ça. Comme si prévenir de la mise en danger de la responsabilité juridique de l’entreprise était une anomalie :craint:



Une bonne partie du temps, je passe pour le connard qui empêche d’avancer.

votre avatar

Travaillant souvent en tant que sous-traitant d’institutions de santé publique, j’ai la vision des ST. Quand tous tes clients t’envoient un formulaire différents demandant les mêmes informations, cela peut être pénible & chronophage de devoir remplir tous leur trucs.
Nous avons pourtant des documents standard mais on sent quelques fois la flemme les envahir et le document n’est pas lu.



Pour le cas que tu cites, je me dis que cela leur demande beaucoup d’efforts pour rassembler les informations demandées et ils sont énervés qu’ils aient à faire ça (ce n’est pas leur boulot après tout…). Je pense que ça révèle simplement que les boites concernées sont immatures sur leur système d’informations et n’ont pas pris le temps et l’énergie de documenter.

votre avatar

C’est effectivement un problème cette absence de standardisation des documents (il serait intéressant que la CNIL produise un questionnaire type si ce n’est déjà fait). Et je la vois même en interne dans les entreprises où les architectes et la sécurité ont généralement pour ainsi dire 40% de questions communes envoyées aux éditeurs lors des appels d’offres.



Du point de vue de l’entreprise candidate à l’appel d’offre, c’est effectivement déroutant.

votre avatar

« c’est-à-dire celles inscrites à Pôle emploi en février 2022 et celles en cessation d’inscription depuis moins de 12 mois à cette date-là »


Inscrites en février 2022 = dont l’inscription a été faite avant, jusq’en février 2022 ? Ou uniquement celles qui se sont inscrites en février 2022 (et pas janvier ou mars) ?

votre avatar

(reply:2148802:Oby-Moine)


C’est l’identifiant unique de l’administration… et contrairement aux autres identifiants qu’on peut avoir, il ne se réinitialise pas.



Il contient la date de naissance et je crois que certains serives bien au tacquet proposent l’année de naissance comme mot de passe par défaut…



Bref, prochainementla vie va être compliquée pour pas mal de monde.



Heureusement Pôle-Emploi va créer un service joignable d’accompagnement pour les victimes d’usurpation d’identités. N’est-ce pas? Hein? Dites?

votre avatar

(reply:2148802:Oby-Moine)


Si quelqu’un a ton numéro il a ton genre, ta date de naissance, ton département de naissance et ta commune de naissance.



C’est aussi un numéro qui est jugé connu de toi uniquement (même si on sait tous que ce n’est pas forcément le cas), donc si tu donnes le numéro par téléphone pour avoir des renseignement médicaux il y a plus de chances que tu les obtiennes.



Je pense que ce n’est plus le cas, mais les infos de date et de lieu de naissance étaient utilisés (avec d’autres) pour valider l’identité de quelqu’un par téléphone pour les banques.



Bref ça simplifie l’usurpation d’identité (et comme l’a dit skan, ça ne se change pas).




Le NIR ne peut donc être utilisé que dans des cas bien précis, le plus souvent en lien avec la protection sociale.
Pour enregistrer et utiliser le NIR, vous devez être autorisés par un texte juridique spécifique.


votre avatar

Je trouve cela fou, comment est-ce possible qu’une base de données si importante soit exposée…



A-t-on des détails de l’attaque ?

votre avatar

” adresses e-mail, numéros de téléphone, mots de passe et coordonnées bancaires » ne seraient pas concernés.
pas si sur: twitter.com Twitter

votre avatar

misocard a dit:


Si quelqu’un a ton numéro il a ton genre,(…)


Ton sexe : 1 pour homme et 2 pour femme (il n’y a pas de 1,5 ou 3) :windu:

votre avatar

J’ai hésité par ce que je me doutais bien qu’on allait rebondir dessus …



J’ai repris le terme de la source et quand j’ai voulu savoir si on pouvait changer de numéro j’ai apris que c’était possible pour les personnes qui ont fait une transition suite à un changement d’état civil.
(du coup, si vous faites partie des 10 millions vous savez ce qu’il faut faire pour changer de numéro ;) )



Je ne connais pas les règles pour le changement de mention du sexe à l’état civil, donc je pense que le terme genre est plus adapté.



Si il n’avait pas été possible de changer de numéro j’aurai utilisé le terme “sexe à la naissance”.



Je n’ai pas envie de discuter de l’idéologie derrière ces termes, j’essaie juste d’être sémantiquement correct et je pense l’avoir été. Je ne pense pas qu’il soit nécessaire d’aller plus loin dans le hors sujet.

votre avatar

Merci pour le lien, la bonne nouvelle c’est qu’il confirme ce que je disais à savoir que c’est bien le sexe tel que défini par l’état civil qui est associé au numéro de sécurité social.



La surprise c’est que je n’avais pas percuté sur le détail de la loi de 2016 qui potentiellement annule la prise en compte des critères biologiques pour déterminer le sexe des citoyens majeurs. Seule l’apparence (identité de genre) est requise.

votre avatar

Tandhruil a dit:


Ton sexe : 1 pour homme et 2 pour femme (il n’y a pas de 1,5 ou 3) :windu:


Ce n’est pas woke compliant tout ça ! :D

votre avatar

Passific a dit:


“février 2022 […] depuis moins de 12 mois à cette date-là” Faut-il y voir que l’acte de cybermalveillance à eu lieu à cette date là, ce qui voudrait dire qu’ils ont mis 1 an et demi pour s’en rendre compte ? Ou plutôt qu’une ancienne sauvegarde à été accédée, et pas le système courant ?


Même question.

votre avatar

EDIT: à supprimer, j’avais mal lu.

votre avatar

Tandhruil a dit:


Une Transition sexuelle, pourquoi tu ne précises pas si tu veux être sémantiquement correct ?


Il semblerait que non




Vous souhaitez changer l’indication du sexe sur vos actes d’état civil ? Il n’est pas nécessaire d’avoir suivi un traitement médical ou d’avoir été opéré. Vous devez démontrer que le sexe indiqué sur votre état civil ne correspond pas à celui de votre vie sociale (identité de genre). La demande est faite auprès du tribunal.


Il est possible d’avoir une indication de sexe sur les actes d’état civil différente de ce que l’on a entre les jambes.



C’est un acte administratif et ça a été décidé comme ça.



Ces commentaires ne sont pas le lieu pour discuter de ces conditions, je fais mon possible pour me limiter au contexte administratif. Ce sujet est un appeau à troll et ça va juste mener à une modération des commentaires.

votre avatar

Il y a 5 à 6 millions de demandeurs d’emploi à un instant T. 10 millions de personnes passent par pôle-emploi chaque année ? Ça paraît beaucoup non ?

votre avatar

On n’est pas forcément demandeur d’emploi toute l’année. Et même, il suffît d’avoir été inscrit une fois pour être dans les bases de données de Pôle emploi.



D’ailleurs, je n’ai pas bien compris quels sont les personnes impactées ?

votre avatar

Tes chiffres sont bons quand on compte toutes les catégorie d’inscrits à Pôle Emploi.



La durée moyenne d’inscription est de l’ordre de 10 mois en 2022 avec donc une partie des gens qui restent moins longtemps (en particulier les jeunes - de 180 jours pour les moins de 25 ans)



Ce qui fait qu’effectivement, sur un an, on cumule des inscrits différents. Ça semble cohérent de tomber sur 10 millions.

votre avatar

Tandhruil a dit:


Ton sexe : 1 pour homme et 2 pour femme (il n’y a pas de 1,5 ou 3) :windu:


Une de mes deux cartes commence par 3 …. Suis-je un escargot ? :D

votre avatar

Ou peut-être un castor lapon ?

votre avatar

C’est une carte temporaire selon Wikipédia :
https://fr.m.wikipedia.org/wiki/Num%C3%A9ro_de_s%C3%A9curit%C3%A9_sociale_en_France#Signification_des_chiffres_du_NIR




1 pour les hommes, 2 pour les femmes, 3, 4, 7 ou 8 pour les personnes en cours d’immatriculation en France


votre avatar

Vu que personne ne l’a encore faite :transpi: j’espère qu’on leur couper leur accès internet après ce manque de sécurisation manifeste :D

votre avatar

Pôle emploi : les données de dix millions de demandeurs d’emploi dans la nature


C’est bien la France ça ! Pour une fois que Pôle emploi prend sa mission à cœur.
On diffuse massivement les CV des demandeurs d’emploi et ça rale !



ah la la la…

votre avatar

Tandhruil a dit:


Ton sexe : 1 pour homme et 2 pour femme (il n’y a pas de 1,5 ou 3) :windu:


En fait si : il y en a qui commencent par 3, 4, 7 ou 8 (ce sont des numéros provisoires) :D

votre avatar

(reply:2148826:[email protected])


Le lien que tu donnes mélange 2 vols de données, dont l’un en 2021



bfmtv.com BFM TV




Parmi les informations évoquées par le vendeur figurent les nom, prénom, âge, mais aussi le numéro de téléphone, l’adresse mail, le code postal, le niveau d’études ou encore la possession d’un permis de conduire des victimes.


votre avatar

Je ne sais pas si cette réflexion est pertinente vu que dans l’hypothèse de cette fuite le pirate a déjà plein de données «officielles» sur moi.



je cherche à remplacer gandi et ses alias dynamiques. J’ai découvert SimpleLogin (racheté par Proton et aussi inclus dans une de leurs offres) via linuxfr qui a une stratégie différente, un alias @simplelogin au lieu d’un alias @mondomaine.



Si je suis victime de cette fuite alors mon alias moi-poleemploi@mondomaine a fuité, ou alors mon alias trucpoleemploi@simplelogin a fuité. Dans les deux cas si quelqu’un l’utilise je peux savoir que ça vient de pôle emploi et donc potentiellement de la fuite, dans les deux cas je peux en créer un nouveau. Juste dans le 1er cas je donne au pirate mon nom de domaine associé à mon identité, alors que dans le 2e cas il a un alias avec un nom de domaine générique. Je peux supprimer un alias manuel chez gandi, pas un dynamique sauf à supprimer les autres avec ; chez simplelogin je peux désactiver chaque alias manuel, les dynamiques je crois qu’il y en a maintenant mais je ne pourrai pas le supprimer non plus sans supprimer le reste logiquement.



Si le pirate a mon domaine et mon identité alors s’il récupère d’autres alias@mondomaine dans d’autres fuites alors il pourra les lier de façon certaine à mon identité, alors que si j’utilise simplelogin même avec un alias dynamique ce sera plus compliqué. Donc le domaine perso me semble plus résilient au niveau changement d’hébergeur et simplelogin plus discret au niveau recoupement d’infos.



Vous en pensez quoi ? La question mérite d’être posée ou est idiote ?

votre avatar

Tandhruil a dit:


Comme recevoir un mail de Pole Emploi qui te dit que ton compte a été piraté ? :mad2:


Ou que ton conseiller a trouvé un poste en or :D

votre avatar

Tandhruil a dit:


Ton sexe : 1 pour homme et 2 pour femme (il n’y a pas de 1,5 ou 3) :windu:


je sais qu’informatiquement c’est impossible, mais 1.5 ça pourrait être les les intersexes (le «I» de «LGBTQIA+»)



Les enfants intersexes ont subi des mutilations dans le but de les rendre conformes à la norme binaire. Ces mutilations ont seulement été interdites fin 2022 (!).




L’arrêté de bonnes pratiques du 15 novembre 2022 pris en application de la loi de bioéthique de 2021 interdit en principe les interventions de conformation sexuée sur les enfants intersexes, ceux dont le corps ne correspond pas à la définition classique du masculin et du féminin.


Reportage où Vincent Guillot parle de son combat contre ces mutilations et de ses séquelles» et d’autres intervenants parlent entre autres de l’autodétermination et le droit à la vie privée, qui justifie pour les trans et intersexes la possibilité de dissociation entre sexe social (genre) et sexe anatomique.



Océan, un homme (trans), donne la parole à Mö, qui raconte les interventions subies, le but étant la possibilité de pénétration, ses séquelles médicales, et son vécu. Je déconseille de regarder ça en train de manger.



Faustine Bollaert reçoit des personnes parents qui ont un enfant intersexe ainsi que Clémence, qui assume son ambiguïté. Clémence n’avait pas un corps ambigu à la naissance, c’est venu à la puberté.



La série Chair tendre (replay france.tv) que je n’ai pas encore regardée parle d’une ado intersexe.

votre avatar

La mission du prestataire Majorel est de numériser et traiter les documents soumis à l’institution par les demandeurs d’emploi.


Mais ouais, mais non !! Ne faites pas ça sur des postes reliés à l’Internet ! Il manque vraiment une épée de Damoclès (peines lourdes, indemnisations des victimes de fuites) pour qu’on revienne sur cette si confortable modernité qui expose nos vies privées aux quatre vents !

votre avatar

Je suis actuellement inscrit chez pole emploi et voici le mail que j’ai reçu :



Bonjour,



Suite à un acte de cyber malveillance dont l’un de nos prestataires a été victime, des informations personnelles vous concernant sont susceptibles d’être divulguées.
Vos nom et prénom, votre statut actuel ou ancien de demandeur d’emploi ainsi que votre numéro de sécurité sociale pourraient être concernés.
Vos adresses e-mail, numéros de téléphone, mots de passe et coordonnées bancaires ne sont en revanche pas concernés.



Il n’existe pas de risque concernant votre indemnisation, votre accompagnement proposé par Pôle emploi ni l’accès à votre espace personnel sur pole-emploi.fr.
Nous vous invitons toutefois à rester vigilant quant aux risques d’hameçonnage (« phishing ») ou de tentatives d’usurpation d’identité.



Pour rappel, ne communiquez jamais vos identifiants et mot de passe par téléphone ou par mail, ni vos coordonnées bancaires : Pôle emploi ou tout autre organisme public ne vous les demanderont jamais.
https://www.pole-emploi.fr/candidat/soyez-vigilants.html



Vous pouvez retrouver tous les conseils et informations également sur le site
cybermalveillance.gouv.fr République Française



Si vous souhaitez plus de précisions, nous vous invitons à contacter le 3949.



Conformément à ses obligations au titre du Règlement général sur la protection des données (RGPD), Pôle emploi a procédé à une notification auprès de la Commission Nationale de l’Informatique et des Libertés (CNIL).



Nous sommes sincèrement désolés pour cet incident que nous déplorons.



Cordialement,
Pôle emploi

votre avatar

J’ai reçu exactement le même mail. Je ne suis plus inscrit à Pôle Emploi depuis mars 2022.



Extrait :




Vos nom et prénom, votre statut actuel ou ancien de demandeur d’emploi ainsi que votre numéro de sécurité sociale pourraient être concernés.
Vos adresses e-mail, numéros de téléphone, mots de passe et coordonnées bancaires ne sont en revanche pas concernés.


J’adore l’emploi du conditionnel pour ce qui est des informations personnelles révélées et l’emploi de l’indicatif concernant les informations restées confidentielles. Quand je pense qu’on oblige les gens à utiliser la plateforme pole-emploi.fr pour surveiller leurs activités de recherche d’emploi et qu’on complique le parcours administratif des personnes qui veulent tout faire par courrier postal ou par téléphone, quelle bande de capos.

votre avatar

Tandhruil a dit:


La surprise c’est que je n’avais pas percuté sur le détail de la loi de 2016 qui potentiellement annule la prise en compte des critères biologiques pour déterminer le sexe des citoyens majeurs. Seule l’apparence (identité de genre) est requise.


C’est un peu plus compliqué (il faut prouver que c’est bien c’est le genre qu’on utilise tous les jours), mais dans l’idée c’est ça, c’est pour ça que j’ai utilisé genre dans ma première intervention



Après il n’y a effectivement que 1 et 2 (sauf exceptions qui ne sont pas liées au genre), pas d’androgyne ou autre.
Si j’en crois cet article à la base le NIR servait juste pour répertorier les hommes mobilisables et le premier chiffre était une feinte pour en cacher l’objectif …



Encore un héritage de la 2 eme guerre mondiale dont on se passerait bien (par ce que je ne suis pas certain que ce soit utile et ça fait une donner personnelle en moins à partager).

votre avatar

(reply:2149066:kamui57) Client Proton, j’ai été heureux d’apprendre il y a quelques temps qu’il était possible de créer des alias via SimpleLogin. Depuis, je migre doucement mais surement tous mes identifiants de comptes vers des alias personnalisés (personnalisés : je renseigne moi-même le début de l’adresse email (exemple: [email protected]) en opposition aux alias proposés par SimpleLogin, ça ne change rien au fonctionnement, c’est juste une préférence personnelle).


Au quotidien, la difficulté est de répondre à la question de la boutique: vous avez un compte client chez nous ? Pouvez-vous me communiquer l’adresse email de votre compte ?
Moi : Euh oui, donnez moi une minute déverrouille son téléphone, lance SimpleLogin, recherche le compte par mot-clé
Ou question alternative: je vous envoie la facture par email ? C’est bien cette adresse email ?
Moi : Oui, c’est celle-là (intérieurement: je crois :roll: )



Une seule fois je me suis fait refusé ma demande de création de compte sur un site parce que le nom de domaine utilisé (8alias.com) a été identifié comme un site d’alias et que si je voulais vraiment utiliser cet alias, il fallait écrire un mail au support. Jamais eu de retour de leur part.

votre avatar

merci :chinois:

Pôle emploi : les données de dix millions de demandeurs d’emploi dans la nature

Fermer