Enquête
Piratage de France Travail : la direction avait été alertée sur une faille de sécurité

En mars 2024, France Travail a été victime du plus grave piratage de son histoire. Les hackeurs ont accédé aux données de 43 millions de demandeurs d'emploi. L’organisme avait pourtant été alerté de la possibilité de ce scénario.
Article rédigé par Maxime Tellier - avec la cellule investigation de radiofrance
Radio France
Publié Mis à jour
Temps de lecture : 18min
En février 2024, les données de 43 millions de demandeurs d'emplois ont été piratées, pourtant France Travail savait qu'une faille de sécurité existait. (MAGALI COHEN / HANS LUCAS)

C’est la plus importante cyberattaque de l’histoire de France Travail et même l’une des plus graves à l’échelle française, en termes de quantité de données compromises. Le piratage ayant visé l’ex-Pôle Emploi en début d’année a permis aux hackeurs d’accéder à 43 millions d’identités. Celles-ci comprenaient : nom, prénom, adresse, courriel, numéro de téléphone et numéro de sécurité sociale (mais pas les mots de passe des personnes inscrites, ni leurs coordonnées bancaires, précise l’organisme). Un véritable bottin à ciel ouvert comprenant plus de la moitié des Français.

Cap emploi : un cheval de Troie

Les pirates n'ont pas attaqué directement France Travail. Ils sont passés par un intermédiaire, en l'occurrence Cap emploi. Cet organisme, qui accompagne les personnes handicapées dans la recherche d'un travail, est devenu récemment un partenaire de France Travail. À ce titre, les agents de Cap emploi ont obtenu l’accès à une partie de la base de données des demandeurs d’emploi de France Travail : ce qu’on appelle le "système de recherche usagers". Il permet d’accéder aux données élémentaires des personnes inscrites (notamment leurs coordonnées). C'est de cette porte d’entrée qu’est venue l'attaque.

Capture d'écran du mail envoyé aux utilisateurs de France Travail et Cap emploi suite au piratage des données de leurs utilisateurs en février 2024. (CELLULE INVESTIGATION DE RADIOFRANCE)

Les hackeurs ont usurpé l’identité de deux agents de Cap emploi. "On ne sait pas encore comment, mais ils ont eu accès à leur nom, prénom et identifiant", explique Franck Denié, directeur général adjoint en charge du système d’information de France Travail. Néanmoins, indique le directeur, "ils avaient connaissance de notre mécanisme de support pour renouveler les mots de passe". Les pirates ont ainsi pu, tout simplement, téléphoner au service d’assistance informatique interne à France Travail, en se faisant passer pour les agents. Une fois le nouveau mot de passe obtenu, les loups étaient dans la bergerie.

France Travail avait été alerté

Mais ce que révèle l'enquête de la cellule investigation de Radio France, c’est que la direction de France Travail avait été alertée de la possibilité d'un tel scénario d’attaque dès 2022. Dans le cadre du projet d’un rapprochement entre France Travail et Cap emploi, les services informatiques de France Travail avaient réalisé un document d'analyse de risque qui avait très précisément identifié cette faille : "Un attaquant usurpe l'identité d'un agent Cap emploi et accède aux données du SI [système d'information] Pôle emploi", pouvait-on lire. L’existence de ce rapport a été révélée par la CGT Pôle emploi, et nous a été confirmée par la direction de France Travail. Il préconisait d'avoir recours à une procédure de double authentification. Mais ce système n'a pas été mis en place assez vite.

Pourquoi France Travail n’a-t-il pas réagi plus tôt ? "Les conditions logistiques n’étaient pas réunies pour qu’on puisse le faire dès le début du projet [de rapprochement avec Cap Emploi], explique Franck Denié. On traite un maximum de recommandations des équipes de sécurité, mais certaines sont plus lourdes à mettre en place que d'autres." France Travail avait alors besoin d’équiper en smartphones les agents de Cap emploi, devait les former et déployer des adresses e-mail normalisées, explique-t-on. Autant de prérequis qui n’étaient pas réunis au moment de l’attaque. L’agence précise cependant que la double authentification était déjà en place pour les salariés de France Travail, et qu’elle a été étendue aux collaborateurs de Cap Emploi une fois le piratage constaté ; "une rapidité qui a été possible car la double authentification avait bel et bien été anticipée, et était en cours de déploiement", insiste Charline Nicolas, directrice générale adjointe à la stratégie et aux affaires institutionnelles à France Travail. Une rapidité hélas trop tardive.

Une intrusion qui a duré

Mais un autre aspect de cette affaire interroge. Selon le communiqué de la procureure de la République publié le 19 mars (six jours après l'annonce de l'attaque), l'intrusion des pirates aurait eu lieu du 6 février au 5 mars 2024 inclus. Les hackers auraient donc pu agir à leur guise, sans être inquiétés pendant un mois. Interrogé sur ce point, France Travail apporte des éléments nouveaux. L’opérateur dit avoir repéré - a posteriori - une première intrusion le 6 février. "On pense qu’à ce moment-là, les hackeurs ont fait des tests, mis au point leur système de requêtage en restant sur des volumétries extrêmement faibles pour ne pas se faire voir, explique Franck Denié. Ils sont revenus plus tard, mais avec des requêtes beaucoup plus volumineuses. Et c’est là qu’on les a détectés." Cette nouvelle intrusion se serait produite le 29 février, déclenchant cette fois des alarmes informatiques en raison d'un transfert massif de fichiers, que France Travail estime aujourd'hui à environ 25 gigaoctets. 

L’agence reconnaît que ce volume correspond peu ou prou à l'intégralité de cette base de données, mais qu’un doute subsiste sur le fait que les pirates aient effectivement réussi à la siphonner entièrement. Il est possible qu'ils n’aient réussi à en dérober qu’une partie, comme l’affirme un article publié par Nextinpact fin mars, faisant état d'un vol limité à 3% du total des données (ce qui représenterait tout de même plus d’un million de personnes). "En l'absence de certitude, nous avons préféré communiquer sur le chiffre maximum possible, soit 43 millions d'identités volées", ajoute Charline Nicolas. 

Trois jeunes hommes "sans histoire"

Le 19 mars 2024, le parquet de Paris a annoncé l’arrestation et la mise en examen de trois jeunes hommes de 21, 22 et 23 ans. Ils sont poursuivis pour "accès et maintien frauduleux dans un système de traitement automatisé de données, extraction de ces données, escroquerie et blanchiment, aggravé par la circonstance de bande organisée". Les enquêteurs de la BL2C (Brigade de lutte contre la cybercriminalité, qui dépend de la préfecture de police de Paris) ont pu remonter, grâce aux traces laissées par les pirates, jusqu'à leurs téléphones, leur ordinateur, et finalement les localiser.

Le jeune homme de 22 ans est originaire de l’Yonne, où il a été arrêté. Selon nos informations, il est étudiant dans une école de commerce de Grenoble. Les deux autres, âgés de 21 et 23 ans, habitent Valence dans la Drôme et vivent chez leurs parents dans un quartier résidentiel du sud de la ville. Un jeune voisin les décrit comme "des gars sans histoire, très casaniers, qui passent beaucoup de temps sur les jeux vidéo". L’un des deux frères est en effet "streamer" sur TikTok Live. Il diffusait parfois des vidéos en direct jusqu'à 13 heures d’affilée, totalisant plus de 10 000 vues. Une activité de créateur de contenus qui peut lui permettre de gagner sa vie, un tiers des revenus de TikTok provenant de TikTok Live. Le parquet de Paris précise toutefois qu’aucun n’avait été condamné pour piratage informatique. La seule infraction qu’on ait identifiée pour l’un d’entre eux était de nature routière.

Durant les jours qui ont suivi la révélation de la cyberattaque, des inconnus ont publié des messages sur des forums spécialisés, proposant de vendre la base de données dérobée à France Travail.

Capture d'écran de l'une des offres proposant à la vente des données volées à Pole Emploi (message posté sur un forum de hackeurs le 21 mars 2024. (CELLULE INVESTIGATION DE RADIOFRANCE)

L’un d’entre eux, que nous avons contacté, nous a envoyé ce qu’il présentait comme des extraits du fichier siphonné, mais sans apporter la preuve qu’il le détenait vraiment. En cherchant sur des sites facilement accessibles, ainsi que sur le deep web et le dark web, nous n’avons pas trouvé trace de la base de données. L’intrusion a donc bel et bien eu lieu, mais rien ne permet de conclure que ces données sont dans la nature.

Des précédents

Notre enquête révèle par ailleurs que France Travail n'en est pas à sa première cyberattaque. Au moins deux autres piratages ont visé l'organisme ces dernières années, posant là aussi la question de sa responsabilité. En 2021, une première attaque a été causée par la négligence d'un salarié qui avait pour habitude de télécharger de grandes quantités de données pour les mettre à disposition d'organismes extérieurs. L'un de ces fichiers, qui s'est retrouvé sur le serveur non sécurisé d'une agence d'intérim, a été volé. Des articles de presse se font alors l’écho d'une fuite d'un peu plus d'1,5 million de données. France Travail reconnaît l'intrusion mais ramène ce chiffre à environ 50 000 identités. Un nombre qui est admis par la justice en mars dernier, dans un jugement du tribunal des prud'hommes d’Amiens (document PDF). Le conseil a alors validé le licenciement pour faute grave du salarié, mais "On peut quand même s'interroger sur la suffisance des mesures de sécurité, questionne aujourd’hui Léah Perez, consultante en protection des données pour la société Trustem, "puisque ces extractions massives n'ont pas éveillé les soupçons en interne, malgré leur caractère répété sur plusieurs années, et souvent en dehors des heures de travail du salarié". Elle constate aussi que "le salarié avait accès à un très grand volume de données sur son poste de travail, ce qui pose question également."

France Travail a connu plusieurs fuites de données notamment en 2021, mais la dernière en date est de loin la fuite la plus massive. (RICCARDO MILANI / HANS LUCAS via AFP)

"Tous les agents de France Travail sont amenés à manier un grand volume de données, précise Franck Denié. En revanche, ce salarié n’avait pas le droit de transférer ces données à un tiers." Depuis, la surveillance a été renforcée. Si des agents manient trop de données, leurs comptes peuvent être bloqués. Ils sont alors contactés pour vérifier le bien-fondé de leurs actions.

Des données proposées à 900 dollars

Mais l’affaire ne s’arrête pas là. En août 2023, on apprend que France Travail a été visé par une autre cyberattaque. Cette fois-ci, les données d’un peu plus de 10 millions de demandeurs d'emploi ont été volées et mises en vente sur des forums de hackers. La fuite comprend des noms, des prénoms et des numéros de sécurité sociale. Le journaliste spécialisé en cybersécurité Damien Bancal, aussi connu sous son pseudo Zataz, repère même des petites annonces en ligne : "Un pirate informatique déclare avoir deux fichiers Pôle emploi. Il les commercialise alors aux alentours de 900 dollars, avant de baisser le prix à 700 dollars."

On ne sait pas si l’offre a trouvé preneur, mais on a appris depuis que la fuite avait émané d’un prestataire, Majorel, qui avait stocké ces données sur un serveur destiné à des mises à jour de logiciel. "Ces données auraient été volées deux ans auparavant, explique Franck Denié. Mais on n’avait plus accès aux traces laissées lors de l’exfiltration." Le mode opératoire des intrus n’a donc pas pu être précisé, et les auteurs de ce vol n’ont pas été identifiés. La plainte déposée par France Travail et Majorel a été classée sans suite. France Travail affirme toutefois que des audits de sécurité ont été menés, et que leurs préconisations finiront d’être mises en place en juin 2024. De son côté, Majorel affirme avoir, depuis cette fuite, investi 1,5 million d’euros en cybersécurité (voir l’intégralité des réponses de Majorel en bas de cette page).

Des sites potentiellement vulnérables

Il est toutefois toujours permis de s’interroger sur le niveau de préparation de France Travail face aux cybermenaces. Pour savoir si l’opérateur présentait encore des vulnérabilités, nous nous sommes mis dans la peau d’un hacker avec l’aide de Nicolas Hernandez, fondateur et dirigeant de la société Aleph Networks, spécialisée en cyberintelligence. En nous connectant au site principal (francetravail.fr), Nicolas Hernandez a vite repéré des anomalies. "Le site renvoie vers une myriade d’autres sites qui ne sont pas en '.fr'. Du type : francetravail.org, poleemploi.org, ou des adresses qui commencent par ww1 ou ww2. Or, avoir une multitude de noms de domaines crée un doute. Cela peut contribuer à un risque d’attaques." Des hackeurs pourraient effectivement profiter de cette profusion d’adresses pour en créer d’autres - mais à leur main – et soutirer des informations à des internautes non vigilants.

Nicolas Hernandez a également détecté des sites anciens, remontant parfois jusqu’à 2016, avec des mises à jour qui ne semblent plus correctement effectuées. "Pour un pirate, tout cela est une aubaine. Cela peut lui donner envie d’essayer d’entrer." En février dernier, un autre expert en cybersécurité - Olivier Laurelli, alias Bluetouff sur X (ex-Twitter) - avait lui aussi alerté France Travail d’une faille sur son site internet (voir la capture d’écran ci-dessous).

Capture d'écran d'un Tweet de @Bluetouff demandant à France Travail s'ils ont bien pris en compte son alerte, le 24 février 2024. (X (ex-TWITTER))

 

Face à ces critiques, Franck Denié invoque "un travail permanent" pour sécuriser tous ces sites et effectuer des mises à jour de sécurité régulières. Il reconnaît que certains d’entre eux ont été mis en ligne "il y a 10 ou 15 ans". "C’est une perpétuelle rénovation", explique-t-il. Il affirme avoir désormais recours fréquemment à des audits externes et à des hackeurs éthiques qui ont pour mission de "tester nos défenses. Et s’ils découvrent des failles, nous les réparons". En tout état de cause, France Travail rappelle que le mode opératoire de la cyberattaque de 2024 n’était pas en lien direct avec son propre site internet.

De possibles arnaques

Quoi qu’il en soit, ce type de piratage présente des risques, et notamment celui du phishing, qu’on appelle "hameçonnage" en français. Il s’agit de ces messages frauduleux que l’on reçoit désormais fréquemment par SMS ou par mail, dans lesquels un escroc tente de se faire passer pour ce qu’il n’est pas : une banque, un service de livraison... Ou ici, France Travail. "L’attaquant dispose d’informations exactes (nom, adresse, etc.) qui mettent en confiance la victime. Celle-ci peut penser que le message qu’elle reçoit est authentique", explique Thibaud Antignac, adjoint au chef de l’expertise technologique à la CNIL, l’organisme chargé de protéger nos données personnelles.

"Un escroc pourrait aussi essayer de demander aux usagers de mettre à jour leurs informations bancaires en arguant d’un risque de non-versement d’indemnité, et leur soutirer de l’argent", ajoute Thibaud Antignac. Enfin, il existe un risque d’usurpation d’identité. Un fraudeur pourrait essayer de se faire passer pour un demandeur d’emploi dont les données ont été volées, et se connecter à d’autres sites pour conduire des arnaques toujours plus sophistiquées.

Consulter l’intégralité des réponses de Majorel à la cellule investigation de Radio France

A la suite de la publication de notre enquête, France Travail a souhaité apporter les précisions suivantes (document PDF).


Alerter la cellule investigation de Radio France :

Pour transmettre une information à la cellule investigation de Radio France de manière anonyme et sécurisée, vous pouvez cliquer sur alerter.radiofrance.fr

Commentaires

Connectez-vous à votre compte franceinfo pour participer à la conversation.