[Mise à jour] Piratage de France Travail: quid de vos dossiers?
[MàJ par Philippe]
Trois jeunes dans la vingtaine viennent d'être arrêtés en France, ils n'auraient finalement exflitré "que" 1 à 1,5 millions de données d'identification personnelles, probablement pour les utiliser pour du hameçonnage ciblé.
L'attaque se révèle très "old-school", appelant en VoIP le support de Cap Emploi avec le numéro de téléphone forgé de techniciens réels et demandant la réinitialisation de leurs comptes pour s'en emparer.
Un problème de procédures d'identification au sein de Cap Emploi, probablement aussi un manque d'authentification par deux facteurs (2FA), ce qui associé à du télétravail a permis l'exploit.
On peut donc respirer un coup, les données ne semblent pas dans la nature, la police a fait rapidement son travail probablement assistée par des équipes spécialisées en cybercriminalité.
Une affaire qui se termine donc bien, mais qui démontre l'incurie des différents intervenants, que ça soit Cap Emploi mais aussi France Travail dont la responsabilité est de protéger nos données personnelles!
[Sujet initial]
France Travail a annoncé avoir été piraté entre le 5 février 2024 et le 6 mars de la même année, avec potentiellement 43 millions de Français touchés par le vol de certaines informations d'Identifications Personnelles, correspondant aux inscrits sous une forme ou une autre des 20 dernières années.
On ne connait pas le groupe ayant piraté France Travail, on sait seulement qu'ils ont usurpé l'identité d'un employé de Cap Emploi pour atteindre leurs buts.
L'attaque et la fuite de données ont été découvertes suite à des requêtes suspectes, France Travail a immédiatement informé la CNIL qui a produit son propre communiqué.
Le bon:
Les mots-de-passe ainsi que les coordonnées bancaires ne seraient pas concernés d'après France Travail. FT indique que "Il n’existe donc aucun risque sur l’indemnisation".
France Travail ne stocke évidemment aucun mot-de-passe, mais leurs hash (signatures), et celles-ci n'auraient pas fuité.
Néanmoins comme dans toute attaque sérieuse je recommande préventivement de changer son mot-de-passe pour un nouveau généré et stocké dans un gestionnaire de mot-de-passe.
Le mauvais:
Selon FT les informations d'Identification Personnelles concernées seraient "nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone."
Un beau fichier de 43 millions de personnes!
Le moche:
Le communiqué de France Travail n'évoque que les "données personnelles d’identification" et non l'ensemble des données dont ils disposent sur leurs inscrits sur ces 20 dernières années, l'historique, le ou les dossiers et autres documents afférents.
Le communiqué de la CNIL paraphrase celui de FT en changeant "données personnelles d’identification" pour "données personnelles", ce qui pourrait être une erreur ou pas...
Pour reprendre le communiqué de France Travail: "Les conséquences potentielles de cette affaire concernent les différentes formes d’hameçonnage (phishing), de tentatives d’escroqueries ou d’usurpation d’identité dont pourraient être victime les personnes concernées par cet incident. Cybermalveillance.gouv.fr recommande d’être particulièrement vigilant face à tout appel téléphonique ou message (mail, SMS) qui pourrait utiliser vos données personnelles compromises dans le but de vous rendre crédible une tentative d’escroquerie ou d’hameçonnage ciblée."
France Travail s'est contenté de communiquer sur les données d'information personnelle, respectant la loi à la lettre, le GDPR, sans élaborer sur les données personnelles dont historiques, dossiers ou documents divers et variés liés aux premières, ce qui laisse planer un doute sur l'ampleur de ce piratage touchant 43 millions de personnes et une vingtaine d'année!
Devant l'ampleur de cette fuite de données, concernant 43 millions de personnes et sur 20 ans on peut espérer qu'une commission d'enquête soit créée pour faire toute la lumière sur les tenants et aboutissants de cette attaque et de ses conséquences.