Cyberattaque France Travail : l’analyse détaillée deux mois aprés

En début d’année 2024, la France a été secouée par une importante cyberattaque. Ce piratage, ciblant l’ex-Pôle Emploi, aurait compromis les données de 43 millions de personnes. Retour sur une histoire de hacking presque pas comme les autres !

Recevez les infos de la semaine ZATAZ, chaque samedi, par courriel.

Recevez les infos ZATAZ dans votre téléphone pour ne rien rater des cyber’actus.

Mars 2024, des – pirates informatiques – annoncent sur le site BreachForums [fermé par le FBI en mai] que la base de données de France Travail avait été copiée. Les pirates n’apporteront aucune preuve de l’exfiltration. Une vente qui sera rapidement avortée. Peut-être en raison des arrestations de trois internautes [dont un étudiant en école de commerce et un streamer TikTok] ; peut-être aussi car ils n’avaient pas volé 43 millions de fiches France Travail.

Les quelques informations que les pirates vont diffuser sur Telegram et sur BreachForums, incluaient des noms, prénoms, adresses, courriels, numéros de téléphone et de sécurité sociale, mais pas les mots de passe ou coordonnées bancaires des inscrits. Cette attaque aurait donc, selon leur dire, exposé plus de la moitié de la population française à des risques de fraude et d’usurpation d’identité.

Cap Emploi : la porte d’entrée des hackers

La cellule investigation de radio France est revenue sur cette histoire qui pourrait sembler exceptionnelle, mais qui est, malheureusement, d’une banalité affligeante. Depuis le 1er janvier, par exemple, le Service veille ZATAZ a pu repérer pas moins de 10 000 bases de données mises en vente ou diffusées dans le darkweb et le web par des pirates informatiques. Rien qu’en ce mois de mai 2024, plus de 300.

Concernant la cyber malveillance de mars 2024, les pirates n’ont pas attaqué directement France Travail. Ils ont exploité une faille via Cap Emploi, un organisme récemment devenu partenaire de France Travail, spécialisé dans l’accompagnement des personnes handicapées dans leur recherche d’emploi. Cap Emploi avait accès à une partie de la base de données de France Travail, notamment au « système de recherche usagers« , contenant les informations élémentaires des demandeurs d’emploi.

Les hackers ont usurpé l’identité de deux agents de Cap Emploi. « On ne sait pas encore comment, mais ils ont eu accès à leur nom, prénom et identifiant, » a expliqué Franck Denié, directeur général adjoint en charge du système d’information de France Travail à Radio France. Connaissant le mécanisme de support pour renouveler les mots de passe, les pirates ont simplement téléphoné au service d’assistance, se faisant passer pour les agents. Une fois le mot de passe obtenu, ils ont pu accéder au système. Une motivation TRÉS étonnante pour trois internautes qui sont annoncées comme des non professionnels du cybercrime.

Compliqué à trouver un identifiant Cap Emploi dans le darkweb ? En 5 minutes, le service veille ZATAZ a pu en retrouver des dizaines. Dans certains cas, avec le login et le mot de passe, dans d’autres cas, avec l’adresse électronique. Cette mini recherche nous fait affirmer qu’au moins un millier de données d’identification « Cap Emploi » sont accessibles, encore aujourd’hui, dans des dizaines de contenus pirates. Bref, du pain béni pour des voyous 2.0 comme je l’explique dans l’enquête de la cellule investigation de Radio France.

Recevez les infos de la semaine ZATAZ, chaque samedi, par courriel.

Recevez les infos ZATAZ dans votre téléphone pour ne rien rater des cyber’actus.

France Travail : des avertissements ignorés ?

L’enquête menée par Radio France révèle que France Travail avait été averti dès 2022 de la possibilité d’une telle attaque. Un document d’analyse de risque, produit dans le cadre du projet de rapprochement avec Cap Emploi, avait identifié cette faille et préconisait une double authentification. Cependant, ce système n’a pas été mis en place à temps. « Les conditions logistiques n’étaient pas réunies pour qu’on puisse le faire dès le début du projet, » a expliqué France Travail. L’implémentation de la double authentification nécessitait d’équiper les agents de Cap Emploi de smartphones, de les former et de déployer des adresses électroniques normalisées. Ces prérequis n’étaient pas en place au moment de l’attaque. Bien que la double authentification soit désormais en place pour tous, cette mesure est arrivée trop tard.

Une intrusion prolongée

Un autre aspect inquiétant de cette affaire est la durée de l’intrusion. Selon le parquet de Paris, les hackers ont eu accès au système du 6 février au 5 mars 2024, soit près d’un mois d’activité non détectée. France Travail a expliqué avoir repéré une première intrusion le 6 février, probablement une phase de test des pirates. Ce n’est que le 29 février, avec un transfert massif de fichiers, que les alarmes ont été déclenchées. Environ 25 gigaoctets de données ont été transférés, correspondant potentiellement à l’intégralité de la base de données.

Le 19 mars 2024, trois jeunes hommes âgés de 21, 22 et 23 ans ont été arrêtés et mis en examen. Ces individus, sans antécédents criminels majeurs, ont été identifiés grâce aux traces numériques laissées par leurs activités. Le plus jeune, étudiant en commerce, et les deux autres, frères vivant à Valence, ont été décrits comme des personnes « sans histoire » et très casanières.

Comme ZATAZ a pu vous le montrer, certains professionnels de la vente et de l’achat de bases de données n’ont jamais cru à la commercialisation de cette base de données. Existe-t-elle vraiment ? Si oui, espérons que nos autorités ont pu la détruire des machines et des potentiels espaces de stockage « cloud » qui auraient pu servir à la sauvegarder. Espérons aussi qu’un quatrième larron, celui qui répondait encore sur Telegram après les arrestations, ne possède pas cette base de données. Qu’il ne la garde pas au chaud pour plus tard.

Recevez les infos de la semaine ZATAZ, chaque samedi, par courriel.

Recevez les infos ZATAZ dans votre téléphone pour ne rien rater des cyber’actus.