11,4 millions d’utilisateurs de Pôle Emploi dans les mains de plusieurs pirates ?

ABONNEZ-VOUS GRATUITEMENT À NOS ACTUALITÉS
Si vous aimez nos actus inédites, ABONNEZ-VOUS A ZATAZ VIA GOOGLE NEWS

Info ZATAZ – Un prestataire de Pôle emploi victime d’une cyberattaque ayant entraîné une importante divulgation de données personnelles de demandeurs d’emploi.

Panique à bord ! La direction générale de Pôle emploi a signalé, mercredi 23 août 2023, que des données de demandeurs d’emploi avaient été massivement exposées à la suite d’une intrusion informatique ayant eu lieu la semaine précédente chez l’un de ses sous-traitants, l’entreprise Majorel comme l’a confirmé Le Parisien. Les informations personnelles de pas moins de 10 millions d’utilisateurs seraient concernées par cet incident qualifié d’acte de cyber malveillance par l’entreprise.

Pôle emploi a déclaré avoir été informé de la violation du système d’information de l’un de ses partenaires en fin de semaine dernière. Cette atteinte présentait un risque de divulgation des données personnelles des personnes à la recherche d’emploi. Les détails tels que les noms, prénoms et numéros de sécurité sociale sont les informations touchées par cet acte malveillant.

Cependant, les adresses e-mail, numéros de téléphone, mots de passe et coordonnées bancaires ne sont pas concernés par cette intrusion, selon les affirmations de Pôle emploi dans son communiqué. La direction a également informé les administrateurs que « sur le darkweb, un fichier est en vente, contenant les données de 10 millions d’usagers qui étaient inscrits à la fin de février 2022 et radiés depuis moins de 12 mois. » S’agit-il d’information extraite lors d’un ransomware ou une fuite de données comme il en existe beaucoup en raison d’une API défectueuse comme cela semble avoir été le cas pour ENGIE (révélation ZATAZ) ?

Echantillon diffusé par le pirate dans un blackmarket.

Mais qui est ce pirate ?

Le groupe Clop qui a mis à mal le prestataire de services de données externe Majorel, il y a plusieurs semaines, via la faille MOVEit ? La banque ING, par exemple, avait alerté le passage des pirates chez son prestataire Majorel. Même alerte pour Deutsche Bank et Commerzbank. ClOp s’était invité via la faille MOVEIt pour mettre la main sur des données que les banques avaient transmises à Majorel. Cela pourrait être logique, Pôle Emploi parlant d’une infiltration datant de la semaine du 17 août. [les infiltrations de Cl0P ne cessent d’être révélées par les pirates eux-mêmes depuis des semaines.]

Le pirate diffuse aussi la géolocalisation (sous forme de Longitude/Latitude) des personnes présentes dans l’un des fichiers volé.

Ou alors, il s’agit d’un autre pirate que ZATAZ a croisé, début août, sur plusieurs blackmarket.

Rien qu’une tarte !

Ce pirate, un commerçant malveillant que je baptiserai « Rien qu’une tarte » [PieWithNothing]. Un spécialiste malveillant très connu dans la vente de base de données. Il officiait déjà dans différents forums pirates, dont certains fermés par les autorités tels que Raid Forum ou encore Breached.

Le 8 août 2023, soit une semaine avant la cyber attaque annoncée par Pôle Emploi, Tarte commercialisait pour 900$ deux fichiers Pôle Emploi. Le premier de 1,2 million de personnes (2021). Le second, 10,2 millions d’enregistrements datant de 2022. Le pirate parle de données comprenant : nom complet, âge, téléphone portable, e-mail, commune, code postal, NIR, RCI, niveau de formation, expérience, permis de conduire, disponibilité d’une voiture, emploi souhaité, géolocalisation, Date. Soit 11,4 millions de données. Il n’y a pas de numéro de sécurité sociale dans cette seconde fuite (2022), mais les téléphones, les adresses électroniques, Etc. Les NIR sont dans la première base de données (2021).

Et ce n’est pas une nouveauté ! Le même pirate avait diffusé, en 2021, sur le site Raid Forum, une base de données de 1,2 million de personnes provenant déjà de Pôle Emploi. A l’époque, il vendait cette BDD 1 200$. Il s’agit de la première BDD de la vente d’août 2023.

Pôle emploi a tenu à souligner qu’il n’y avait « aucun risque sur l’indemnisation et l’accompagnement proposé » et que l’accès à l’espace personnel sur le site « pole-emploi.fr » restait sécurisé. Malgré cela, l’organisme a recommandé aux demandeurs d’emploi de se montrer vigilants face à toute démarche ou proposition pouvant sembler frauduleuse. Un support téléphonique sera mis à disposition via la plateforme téléphonique 39 49 pour accompagner les demandeurs d’emploi ayant des questions relatives à cette situation.

Parmi les démarches malveillantes envisageables, ZATAZ n’en citera que deux : faux contrat de travail pour des missions de réception de chèques ou de produits volés ; infiltration d’ordinateur via des fichiers communiqués dans un courriel aux couleurs de Pôle Emploi, Etc.

Dans les autres documents volés et vendus par « Rien qu’une tarte« , ZATAZ a repéré 24 millions de données appartenant à des français. Le premier fichier, exfiltré de MixData.com, en avril 2023. 17 millions d’adresses électroniques, 4,3 millions de liens Linkedin, Etc. Le second document, 6,8 millions de logs (lignes) que Tarte annonce détenir de l’INSEE. Informations exfiltrées en juin 2021. 6,8 millions de logs, dont 800 000 entrepreneurs individuels. Un détail que le pirate a mis en avant dans sa vente, comprenant bien l’intérêt de cette dernière. Les fichiers sont commercialisés 700$.

Le Service Veille ZATAZ a alerté ses abonnés dès la découverte des premiers échantillons diffusés par le malveillant.

En 2017, le site Pôle Emploi Jeune avait été victime d’une fuite de données.

Article diffusé le 23/08 – Mise à jour le 27/08. Pôle emploi a commencé à envoyer des courriels aux personnes concernées par ce piratage et la fuite de données qui en a découlé comme le montre ma capture écran, ci-dessous.

Mise à jour du 31/08/2023 :  L’Insee précise qu’à sa connaissance, son système d’information n’est pas concerné par l’éventuel acte de piratage. Il ne dispose pas des adresses mels de contact pour un tel volume de données et les autres données apparaissent disponibles en open data via la diffusion de la base Sirene par l’Insee ou via d’autres sources d’information. En tout état de cause, si piratage d’information il y a, celui-ci n’apparait pas en violation des dispositifs techniques et organisationnels de l’Insee, mais possiblement d’autres sources.

Au sujet de l'auteur
Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.

Articles connexes

  1. Cyb Reply

    Pole Emploi a-t-il respecté le RGPD ? Les médias disent que sont concernées toutes personnes ayant été inscrites un jour à Pole Emploi. Pole Emploi aurait donc conservé illégalement nos données personnelles ?

    • Damien Bancal Reply

      Bonjour,
      On peut penser que la CNIL a été saisie de l’affaire et que Pôle Emploi respecte à la lettre le RGPD.
      A suivre.

  2. Nico Reply

    Que pôle emploi respecte le Rgpd, sans doute, c’est le sous-traitant qui devrait être audité.

  3. Tooky Reply

    Je ne sais pas si j’ai bien compris, mais si les données volé datant de 2022 ne contiennent pas de numéro de sécurité social, elles contiennent uniquement le nom et prénom ?

    • Damien Bancal Reply

      Bonjour,
      Comme nous l’indiquons dans l’article, et d’aprés ce que nous avons aperçu de la diffusion pirate : deux bases de données de 2021 et 2022. L’ensemble des deux bases contiennent : identité, adresse électronique, numéro de téléphone, formation, emploi souhaité, numéro de sécurité sociale, géolocalisation de la ville du chercheur d’emploi, Etc. Aucune donnée bancaire.

  4. Neo Reply

    Bjr,
    le mail envoyé par Pole Emploi indique que les données du demandeur d’emploi sont « susceptibles » d’avoir été piratées. Autrement dit, il n’ajoute absolument rien de nouveau par rapport à ce qui était indiqué ici une semaine auparavant.
    Quant au respect du RGPD, j’ai quelques doutes : ils sont très bons pour vous tracasser en réclamant des justificatifs inutiles.

  5. Bat Reply

    Bonjour,

    Ce que je ne comprends pas c’est que pole emploie parle “juste” du nom prenom et numero de sécurité social
    Mais ne parle pas du reste ( le screen qu’on voit montre beaucoup plus d’informations)
    Et ils ne parlent pas du permis de conduire et de la carte d’identité aussi.

    Car c’est déjà assez grave le numéro de secu mais si il y a le reste c’est catastrophique.
    C’est donner le package complet pour une usurpation d’identité réussi.
    Mais aucun média en parle.
    Cela ne semble inquiété personne.

    Même vous, vous parlez que de deux choses comme actes de malveillance alors que le plus important et le plus grave c’est usurpation d’identité qui ruine une vie …

    Quelle est la raison ?

  6. Michael Reply

    Pour ma part, le pole emploi et ces prestataires ne respectent pas du tout le principe de minimisation et de destruction des données 11 millions de personnes, alors qu il y a environ 5 millions de chômeurs.
    Je suis pour ma part concerné par ce vol de données et en vertu des articles 77 et 82 du RGPD, je me demande si on devrait pas tous introduire une réclamation auprès de l autorité de contrôle.
    Qu en pensez vous?

  7. sdnjds Reply

    La confiance des français à l’égard de leur institution en dit long. Comme si les institutions (les hauts fonctionnaires, les gouvernant, les grande entreprises qui en tirent profit) risquaient quelque chose de sérieux à enfreindre les lois. Comme si la France avait atteint le stade de la règle de la loi (comme si les lois dominaient les decisions arbitraire, comme si les puissant et les autres étaient égaux devant la justice).

Laisser un commentaire

*

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.