Info ZATAZ – Un prestataire de Pôle emploi victime d’une cyberattaque ayant entraîné une importante divulgation de données personnelles de demandeurs d’emploi.

Panique à bord ! La direction générale de Pôle emploi a signalé, mercredi 23 août 2023, que des données de demandeurs d’emploi avaient été massivement exposées à la suite d’une intrusion informatique ayant eu lieu la semaine précédente chez l’un de ses sous-traitants, l’entreprise Majorel comme l’a confirmé Le Parisien. Les informations personnelles de pas moins de 10 millions d’utilisateurs seraient concernées par cet incident qualifié d’acte de cyber malveillance par l’entreprise.

Pôle emploi a déclaré avoir été informé de la violation du système d’information de l’un de ses partenaires en fin de semaine dernière. Cette atteinte présentait un risque de divulgation des données personnelles des personnes à la recherche d’emploi. Les détails tels que les noms, prénoms et numéros de sécurité sociale sont les informations touchées par cet acte malveillant.

Cependant, les adresses e-mail, numéros de téléphone, mots de passe et coordonnées bancaires ne sont pas concernés par cette intrusion, selon les affirmations de Pôle emploi dans son communiqué. La direction a également informé les administrateurs que « sur le darkweb, un fichier est en vente, contenant les données de 10 millions d’usagers qui étaient inscrits à la fin de février 2022 et radiés depuis moins de 12 mois. » S’agit-il d’information extraite lors d’un ransomware ou une fuite de données comme il en existe beaucoup en raison d’une API défectueuse comme cela semble avoir été le cas pour ENGIE (révélation ZATAZ) ?

Echantillon diffusé par le pirate dans un blackmarket.

Mais qui est ce pirate ?

Le groupe Clop qui a mis à mal le prestataire de services de données externe Majorel, il y a plusieurs semaines, via la faille MOVEit ? La banque ING, par exemple, avait alerté le passage des pirates chez son prestataire Majorel. Même alerte pour Deutsche Bank et Commerzbank. ClOp s’était invité via la faille MOVEIt pour mettre la main sur des données que les banques avaient transmises à Majorel. Cela pourrait être logique, Pôle Emploi parlant d’une infiltration datant de la semaine du 17 août. [les infiltrations de Cl0P ne cessent d’être révélées par les pirates eux-mêmes depuis des semaines.]

Le pirate diffuse aussi la géolocalisation (sous forme de Longitude/Latitude) des personnes présentes dans l’un des fichiers volé.

Ou alors, il s’agit d’un autre pirate que ZATAZ a croisé, début août, sur plusieurs blackmarket.

Rien qu’une tarte !

Ce pirate, un commerçant malveillant que je baptiserai « Rien qu’une tarte » [PieWithNothing]. Un spécialiste malveillant très connu dans la vente de base de données. Il officiait déjà dans différents forums pirates, dont certains fermés par les autorités tels que Raid Forum ou encore Breached.

Le 8 août 2023, soit une semaine avant la cyber attaque annoncée par Pôle Emploi, Tarte commercialisait pour 900$ deux fichiers Pôle Emploi. Le premier de 1,2 million de personnes (2021). Le second, 10,2 millions d’enregistrements datant de 2022. Le pirate parle de données comprenant : nom complet, âge, téléphone portable, e-mail, commune, code postal, NIR, RCI, niveau de formation, expérience, permis de conduire, disponibilité d’une voiture, emploi souhaité, géolocalisation, Date. Soit 11,4 millions de données. Il n’y a pas de numéro de sécurité sociale dans cette seconde fuite (2022), mais les téléphones, les adresses électroniques, Etc. Les NIR sont dans la première base de données (2021).

Et ce n’est pas une nouveauté ! Le même pirate avait diffusé, en 2021, sur le site Raid Forum, une base de données de 1,2 million de personnes provenant déjà de Pôle Emploi. A l’époque, il vendait cette BDD 1 200$. Il s’agit de la première BDD de la vente d’août 2023.

Pôle emploi a tenu à souligner qu’il n’y avait « aucun risque sur l’indemnisation et l’accompagnement proposé » et que l’accès à l’espace personnel sur le site « pole-emploi.fr » restait sécurisé. Malgré cela, l’organisme a recommandé aux demandeurs d’emploi de se montrer vigilants face à toute démarche ou proposition pouvant sembler frauduleuse. Un support téléphonique sera mis à disposition via la plateforme téléphonique 39 49 pour accompagner les demandeurs d’emploi ayant des questions relatives à cette situation.

Parmi les démarches malveillantes envisageables, ZATAZ n’en citera que deux : faux contrat de travail pour des missions de réception de chèques ou de produits volés ; infiltration d’ordinateur via des fichiers communiqués dans un courriel aux couleurs de Pôle Emploi, Etc.

Dans les autres documents volés et vendus par « Rien qu’une tarte« , ZATAZ a repéré 24 millions de données appartenant à des français. Le premier fichier, exfiltré de MixData.com, en avril 2023. 17 millions d’adresses électroniques, 4,3 millions de liens Linkedin, Etc. Le second document, 6,8 millions de logs (lignes) que Tarte annonce détenir de l’INSEE. Informations exfiltrées en juin 2021. 6,8 millions de logs, dont 800 000 entrepreneurs individuels. Un détail que le pirate a mis en avant dans sa vente, comprenant bien l’intérêt de cette dernière. Les fichiers sont commercialisés 700$.

Le Service Veille ZATAZ a alerté ses abonnés dès la découverte des premiers échantillons diffusés par le malveillant.

En 2017, le site Pôle Emploi Jeune avait été victime d’une fuite de données.

Article diffusé le 23/08 – Mise à jour le 27/08. Pôle emploi a commencé à envoyer des courriels aux personnes concernées par ce piratage et la fuite de données qui en a découlé comme le montre ma capture écran, ci-dessous.

Mise à jour du 31/08/2023 : L’Insee précise qu’à sa connaissance, son système d’information n’est pas concerné par l’éventuel acte de piratage. Il ne dispose pas des adresses mels de contact pour un tel volume de données et les autres données apparaissent disponibles en open data via la diffusion de la base Sirene par l’Insee ou via d’autres sources d’information. En tout état de cause, si piratage d’information il y a, celui-ci n’apparait pas en violation des dispositifs techniques et organisationnels de l’Insee, mais possiblement d’autres sources.

Au sujet de l'auteur

Damien Bancal - Fondateur de ZATAZ.COM / DataSecurityBreach.fr Travaille sur les sujets High-tech/Cybercriminalité/Cybersécurité depuis 1989. Gendarme réserviste - Lieutenant-Colonel (RC) ComCyberGend. Fondateur du Service Veille ZATAZ : https://www.veillezataz.com En savoir plus : https://www.damienbancal.fr

Histoires d’espionnage entre la Chine et les USA

9 Comments

Cyb 24/08/2023 at 13:25 Reply

Pole Emploi a-t-il respecté le RGPD ? Les médias disent que sont concernées toutes personnes ayant été inscrites un jour à Pole Emploi. Pole Emploi aurait donc conservé illégalement nos données personnelles ?
- Damien Bancal 24/08/2023 at 14:18 Reply
  
  Bonjour,
  On peut penser que la CNIL a été saisie de l’affaire et que Pôle Emploi respecte à la lettre le RGPD.
  A suivre.
Nico 26/08/2023 at 22:56 Reply

Que pôle emploi respecte le Rgpd, sans doute, c’est le sous-traitant qui devrait être audité.
Tooky 27/08/2023 at 18:57 Reply

Je ne sais pas si j’ai bien compris, mais si les données volé datant de 2022 ne contiennent pas de numéro de sécurité social, elles contiennent uniquement le nom et prénom ?
- Damien Bancal 27/08/2023 at 22:51 Reply
  
  Bonjour,
  Comme nous l’indiquons dans l’article, et d’aprés ce que nous avons aperçu de la diffusion pirate : deux bases de données de 2021 et 2022. L’ensemble des deux bases contiennent : identité, adresse électronique, numéro de téléphone, formation, emploi souhaité, numéro de sécurité sociale, géolocalisation de la ville du chercheur d’emploi, Etc. Aucune donnée bancaire.
Neo 31/08/2023 at 00:53 Reply

Bjr,
le mail envoyé par Pole Emploi indique que les données du demandeur d’emploi sont « susceptibles » d’avoir été piratées. Autrement dit, il n’ajoute absolument rien de nouveau par rapport à ce qui était indiqué ici une semaine auparavant.
Quant au respect du RGPD, j’ai quelques doutes : ils sont très bons pour vous tracasser en réclamant des justificatifs inutiles.
Bat 01/09/2023 at 15:46 Reply

Bonjour,

Ce que je ne comprends pas c’est que pole emploie parle “juste” du nom prenom et numero de sécurité social
Mais ne parle pas du reste ( le screen qu’on voit montre beaucoup plus d’informations)
Et ils ne parlent pas du permis de conduire et de la carte d’identité aussi.

Car c’est déjà assez grave le numéro de secu mais si il y a le reste c’est catastrophique.
C’est donner le package complet pour une usurpation d’identité réussi.
Mais aucun média en parle.
Cela ne semble inquiété personne.

Même vous, vous parlez que de deux choses comme actes de malveillance alors que le plus important et le plus grave c’est usurpation d’identité qui ruine une vie …

Quelle est la raison ?
Michael 01/09/2023 at 17:25 Reply

Pour ma part, le pole emploi et ces prestataires ne respectent pas du tout le principe de minimisation et de destruction des données 11 millions de personnes, alors qu il y a environ 5 millions de chômeurs.
Je suis pour ma part concerné par ce vol de données et en vertu des articles 77 et 82 du RGPD, je me demande si on devrait pas tous introduire une réclamation auprès de l autorité de contrôle.
Qu en pensez vous?
sdnjds 05/09/2023 at 16:49 Reply

La confiance des français à l’égard de leur institution en dit long. Comme si les institutions (les hauts fonctionnaires, les gouvernant, les grande entreprises qui en tirent profit) risquaient quelque chose de sérieux à enfreindre les lois. Comme si la France avait atteint le stade de la règle de la loi (comme si les lois dominaient les decisions arbitraire, comme si les puissant et les autres étaient égaux devant la justice).