Piratage de France Travail : la direction avait été alertée sur une faille de sécurité

France TV Info

#données #cyberattaques #piratages #FranceTravail #controle

Article mis en ligne le 29 mai 2024

dernière modification le 25 mai 2024

En mars 2024, France Travail a été victime du plus grave piratage de son histoire. Les hackeurs ont accédé aux données de 43 millions de demandeurs d’emploi. L’organisme avait pourtant été alerté de la possibilité de ce scénario.

C’est la plus importante cyberattaque de l’histoire de France Travail et même l’une des plus graves à l’échelle française, en termes de quantité de données compromises. Le piratage ayant visé l’ex-Pôle Emploi en début d’année a permis aux hackeurs d’accéder à 43 millions d’identités. Celles-ci comprenaient : nom, prénom, adresse, courriel, numéro de téléphone et numéro de sécurité sociale (mais pas les mots de passe des personnes inscrites, ni leurs coordonnées bancaires, précise l’organisme). Un véritable bottin à ciel ouvert comprenant plus de la moitié des Français.
Cap emploi : un cheval de Troie

Les pirates n’ont pas attaqué directement France Travail. Ils sont passés par un intermédiaire, en l’occurrence Cap emploi. Cet organisme, qui accompagne les personnes handicapées dans la recherche d’un travail, est devenu récemment un partenaire de France Travail. (...)

Les hackeurs ont usurpé l’identité de deux agents de Cap emploi. "On ne sait pas encore comment, mais ils ont eu accès à leur nom, prénom et identifiant", explique Franck Denié, directeur général adjoint en charge du système d’information de France Travail. Néanmoins, indique le directeur, "ils avaient connaissance de notre mécanisme de support pour renouveler les mots de passe". (...)

France Travail avait été alerté

Mais ce que révèle l’enquête de la cellule investigation de Radio France, c’est que la direction de France Travail avait été alertée de la possibilité d’un tel scénario d’attaque dès 2022. Dans le cadre du projet d’un rapprochement entre France Travail et Cap emploi, les services informatiques de France Travail avaient réalisé un document d’analyse de risque qui avait très précisément identifié cette faille (...)

L’existence de ce rapport a été révélée par la CGT Pôle emploi, et nous a été confirmée par la direction de France Travail. Il préconisait d’avoir recours à une procédure de double authentification. Mais ce système n’a pas été mis en place assez vite.

Pourquoi France Travail n’a-t-il pas réagi plus tôt ? (...)

France Travail avait alors besoin d’équiper en smartphones les agents de Cap emploi, devait les former et déployer des adresses e-mail normalisées, explique-t-on. Autant de prérequis qui n’étaient pas réunis au moment de l’attaque. L’agence précise cependant que la double authentification était déjà en place pour les salariés de France Travail, et qu’elle a été étendue aux collaborateurs de Cap Emploi une fois le piratage constaté (...)

Une rapidité hélas trop tardive.
Une intrusion qui a duré

Mais un autre aspect de cette affaire interroge. Selon le communiqué de la procureure de la République publié le 19 mars (six jours après l’annonce de l’attaque), l’intrusion des pirates aurait eu lieu du 6 février au 5 mars 2024 inclus. Les hackers auraient donc pu agir à leur guise, sans être inquiétés pendant un mois. Interrogé sur ce point, France Travail apporte des éléments nouveaux. (...)

L’opérateur dit avoir repéré - a posteriori - une première intrusion le 6 février. (...)

nouvelle intrusion se serait produite le 29 février, déclenchant cette fois des alarmes informatiques en raison d’un transfert massif de fichiers, que France Travail estime aujourd’hui à environ 25 gigaoctets.

L’agence reconnaît que ce volume correspond peu ou prou à l’intégralité de cette base de données, mais qu’un doute subsiste sur le fait que les pirates aient effectivement réussi à la siphonner entièrement. Il est possible qu’ils n’aient réussi à en dérober qu’une partie (...)

Trois jeunes hommes "sans histoire"

Le 19 mars 2024, le parquet de Paris a annoncé l’arrestation et la mise en examen de trois jeunes hommes de 21, 22 et 23 ans. Ils sont poursuivis pour "accès et maintien frauduleux dans un système de traitement automatisé de données, extraction de ces données, escroquerie et blanchiment, aggravé par la circonstance de bande organisée". Les enquêteurs de la BL2C (Brigade de lutte contre la cybercriminalité, qui dépend de la préfecture de police de Paris) ont pu remonter, grâce aux traces laissées par les pirates, jusqu’à leurs téléphones, leur ordinateur, et finalement les localiser. (...)

Durant les jours qui ont suivi la révélation de la cyberattaque, des inconnus ont publié des messages sur des forums spécialisés, proposant de vendre la base de données dérobée à France Travail. (...)

En cherchant sur des sites facilement accessibles, ainsi que sur le deep web et le dark web, nous n’avons pas trouvé trace de la base de données. L’intrusion a donc bel et bien eu lieu, mais rien ne permet de conclure que ces données sont dans la nature.
Des précédents

Notre enquête révèle par ailleurs que France Travail n’en est pas à sa première cyberattaque. Au moins deux autres piratages ont visé l’organisme ces dernières années, posant là aussi la question de sa responsabilité. (...)

"On peut quand même s’interroger sur la suffisance des mesures de sécurité, questionne aujourd’hui Léah Perez, consultante en protection des données pour la société Trustem, "puisque ces extractions massives n’ont pas éveillé les soupçons en interne, malgré leur caractère répété sur plusieurs années, et souvent en dehors des heures de travail du salarié". Elle constate aussi que "le salarié avait accès à un très grand volume de données sur son poste de travail, ce qui pose question également." (...)

Des données proposées à 900 dollars

Mais l’affaire ne s’arrête pas là. En août 2023, on apprend que France Travail a été visé par une autre cyberattaque. Cette fois-ci, les données d’un peu plus de 10 millions de demandeurs d’emploi ont été volées et mises en vente sur des forums de hackers. La fuite comprend des noms, des prénoms et des numéros de sécurité sociale. Le journaliste spécialisé en cybersécurité Damien Bancal, aussi connu sous son pseudo Zataz, repère même des petites annonces en ligne : "Un pirate informatique déclare avoir deux fichiers Pôle emploi. Il les commercialise alors aux alentours de 900 dollars, avant de baisser le prix à 700 dollars." (...)

La plainte déposée par France Travail et Majorel a été classée sans suite. France Travail affirme toutefois que des audits de sécurité ont été menés, et que leurs préconisations finiront d’être mises en place en juin 2024. De son côté, Majorel affirme avoir, depuis cette fuite, investi 1,5 million d’euros en cybersécurité (voir l’intégralité des réponses de Majorel en bas de cette page).
Des sites potentiellement vulnérables

Il est toutefois toujours permis de s’interroger sur le niveau de préparation de France Travail face aux cybermenaces. Pour savoir si l’opérateur présentait encore des vulnérabilités, nous nous sommes mis dans la peau d’un hacker avec l’aide de Nicolas Hernandez, fondateur et dirigeant de la société Aleph Networks, spécialisée en cyberintelligence. En nous connectant au site principal (francetravail.fr), Nicolas Hernandez a vite repéré des anomalies. (...)

Nicolas Hernandez a également détecté des sites anciens, remontant parfois jusqu’à 2016, avec des mises à jour qui ne semblent plus correctement effectuées. "Pour un pirate, tout cela est une aubaine. Cela peut lui donner envie d’essayer d’entrer." En février dernier, un autre expert en cybersécurité - Olivier Laurelli, alias Bluetouff sur X (ex-Twitter) - avait lui aussi alerté France Travail d’une faille sur son site internet (...)

En tout état de cause, France Travail rappelle que le mode opératoire de la cyberattaque de 2024 n’était pas en lien direct avec son propre site internet.

De possibles arnaques

Quoi qu’il en soit, ce type de piratage présente des risques, et notamment celui du phishing, qu’on appelle "hameçonnage" en français. Il s’agit de ces messages frauduleux que l’on reçoit désormais fréquemment par SMS ou par mail, dans lesquels un escroc tente de se faire passer pour ce qu’il n’est pas : une banque, un service de livraison... Ou ici, France Travail. (...)

Le contrat d’engagement républicain, outil de mise au pas du monde associatif

Créé afin de lutter contre « l’islamisme radical » et « tous les séparatismes », le contrat d’engagement républicain (CER) n’a, à ce jour, jamais en réalité été invoqué à l’égard d’associations confessionnelles, qu’elles soient islamistes ou liées à d’autres mouvements radicaux ou séparatistes, révèle un décompte réalisé par l’Observatoire des libertés associatives.

Et sur les vingt-quatre cas relevés, seuls trois portent sur des faits liés à la religion musulmane au sein d’associations telles qu’une section locale du Planning familial, accusée d’avoir représenté une femme voilée sur une affiche, une MJC, à laquelle on a reproché d’avoir embauché des femmes voilées, et une association d’aide aux femmes, accusée sans preuve de « prosélytisme religieux ».

Pour le reste, le CER, que les associations doivent obligatoirement signer lorsqu’elles demandent une subvention, a été brandi à l’égard de l’association Alternatiba Poitiers accusée de « désobéissance civile » ; d’une association d’aide aux mal-logé·es, l’Atelier populaire d’urbanisme (APU), dont une salariée est accusée de violences verbales envers des agents municipaux ; d’une association d’aide aux immigré·es ayant appelé à une manifestation contre les violences policières interdites ; d’une télévision associative, Canal Ti Zef à Brest, mobilisée dans la lutte contre l’évacuation d’un squat ; ou encore d’une compagnie de théâtre, la compagnie Arlette Moreau à Poitiers, ayant moqué son préfet. (...)

Lors de l’adoption de la loi séparatisme, à l’été 2021, des député·es de l’opposition et des responsables associatifs avaient déjà alerté sur les risques d’un détournement du CER dans un but de répression politique. (...)

Parler de détournement du CER est excessif. Lorsqu’on relit les débats parlementaires, on se rend en effet compte que la majorité assumait, dès le départ, le fait de ne pas viser exclusivement les associations séparatistes radicales mais toute association ayant recours à certains modes d’action liés à la désobéissance civile. (...)

Pourtant, malgré ce champ d’application particulièrement large, le contrat d’engagement républicain est en partie un échec pour le gouvernement. « Le bilan est encore loin d’être concluant », constatait un rapport d’évaluation du Sénat publié au mois de mars, qui soulignait le peu de cas de mobilisation du CER – quatre selon le rapport – et des modalités d’application disparates en fonction des collectivités. « Cette loi ne fait peur à personne. Surtout pas aux islamistes », assénait même sa rapporteuse, Jacqueline Eustache-Brinio.

Comment le gouvernement s’est lui-même piégé (...)

En créant ce contrat, le gouvernement s’est en quelque sorte piégé lui-même. Il n’existe pas en effet de droit à la subvention pour les associations. Chaque collectivité dispose de ce fait d’un droit discrétionnaire en matière d’attribution et elle peut refuser ou accorder telle ou telle subvention sans avoir à se justifier.

En créant le CER, la loi séparatisme a créé un nouvel acte administratif qui offre une prise juridique, un recours possible pour les associations. Or, dans la seule décision visant directement le CER rendue à ce jour, le tribunal administratif de Poitiers a rejeté la demande du préfet de la Vienne visant à obtenir le remboursement d’une subvention versée à l’association Alternatiba pour avoir tenu un atelier de désobéissance civile.

D’autres recours lancés ces derniers mois devraient permettre de préciser cette jurisprudence naissante. (...)

il n’est par exemple qu’évoqué à l’oral dans une réunion ou dans un mail ou brandit comme une menace, sans que l’on sache s’il est vraiment à l’origine d’une sanction à non.

Au mois d’août dernier, Le Monde révélait ainsi qu’il existe une « liste rouge » d’associations basées dans la région du plateau de Millevaches qui seraient privées de subventions par la préfecture sans que cela leur ait été officiellement notifié, leur ôtant ainsi toute possibilité de recours.

Plus récemment, une association d’aide aux immigré·e·s, l’Asti du Petit-Quevilly en Seine-Maritime, s’est vu « rappeler » ses engagements par la préfecture pour avoir appelé à une manifestation contre les violences policières interdite. Celle-ci a transmis cet « avertissement » aux partenaires financiers, dont la métropole de Rouen, qui a en conséquence suspendu l’examen des demandes de subvention de l’Asti. (...)

« Il y a chez certaines collectivités une profonde incompréhension du CER, qui est utilisé à tort et à travers, et notamment comme un moyen de pression, de régulation des relations avec les associations », analyse Claire Thoury, présidente du Mouvement associatif, une organisation regroupant environ 700 000 associations, et qui avait publié, en janvier 2023, un premier bilan de l’application du CER. (...) « Le CER a désormais un effet presque plus symbolique que pratique », ajoute Julien Talpin, chercheur en science politique au CNRS et l’un des fondateurs, en 2019, de l’Observatoire des libertés associatives. « On peut penser que certaines associations n’oseront plus aborder certains sujets comme les violences policières ou en ce moment le conflit israélo-palestinien. Le problème est de réussir à objectiver ces effets indirects et diffus et cette autocensure. » (...)

« Il y a donc une dissonance entre ce que prétend défendre le CER et les conséquences de son application à certaines associations, pointe-t-elle. Cela ne fait en outre qu’ajouter de la confusion à ce que sont les valeurs républicaines. » (...)

L’entrée en vigueur du CER est en outre intervenue dans un contexte de défiance croissante entre le monde associatif et les autorités. « Nous sommes en fait dans un contexte de dérive générale », affirme Claire Thoury. (...)

« Il y a également eu récemment le maire de Saint-Raphaël qui impose à toutes les associations touchant des subventions de participer aux manifestations patriotiques de la ville. C’est hallucinant ! », s’indigne la présidente du Mouvement associatif. (...)

« Les associations ne sont pas là pour faire plaisir aux pouvoirs publics, insiste Claire Thoury. Ce n’est pas leur mission. Mais l’inverse non plus ! Une association peut très bien s’opposer à une collectivité sur un sujet précis et être en accord sur un autre. C’est ce qu’on appelle un contre-pouvoir et c’est tout simplement le cours normal de la vie démocratique. » (...)

Source

Dans la même rubrique