Previous Story
Fuite de données chez Pôle Emploi : une décision de justice révèle les dessous du hack !
Une récente décision de justice a mis en lumière les circonstances ayant permis à des cybercriminels de dérober et de mettre en vente les informations personnelles dizaines de milliers de demandeurs d’emploi français.
Recevez les infos ZATAZ dans votre téléphone pour ne rien rater des cyber’actus.
Souvenez-vous, nous sommes en juin 2021. Des pirates informatiques indiquent avoir mis la main sur des milliers d’informations personnelles et privées appartenant à des demandeurs d’emploi français. A l’époque, le pirate parlait de plus d’un million d’information. Il stoppera la vente à la suite, expliquait-il, d’un contact avec un inconnu lui expliquant ce qu’il avait volé et les victimes potentiels. ZATAZ s’étonnait de cette vente et de ce revirement de situation du malveillant.
Trois ans plus tard, via une décision de justice indirecte de cette affaire nous éclaire sur le fin mot de l’histoire. Une décision de la cour d’appel de la chambre prud’homale d’Amiens, rendue le 28 mars 2024, a révélé que le piratage était dû à la négligence d’un agent de Pôle Emploi [aujourd’hui, France Travail].
Entre 2016 et 2021, cet agent avait téléchargé sur son ordinateur personnel les données personnelles de dizaines de milliers de demandeurs d’emploi afin de les traiter plus facilement sur un tableur. Ce document lui permettait d’envoyer des invitations à des forums ou des événements de job dating et de transmettre des listes de profils à des sociétés tierces. L’une de ces sociétés, une agence d’intérim, a sauvegardé la base de données de 58 124 demandeurs d’emploi sur un serveur non sécurisé. C’est ce document que les cybercriminels ont volé et mis en vente sur le forum RaidForums [fermé par le FBI en 2022] en juin 2021.
Pôle emploi a été alerté le 8 juin 2021 d’une importante fuite de données à caractère personnel de demandeurs d’emploi. Information à la suite de laquelle il a entrepris une enquête interne dont les conclusions ont été remises dix jours plus tard. Ce rapport avait mis en évidence les agissements fautifs de l’agent « qui, en méconnaissance du règlement intérieur et des notes d’instructions émises en matière de protection des données des demandeurs d’emploi, a procédé, souvent en dehors de ses heures de travail, à d’importantes extractions de données depuis l’outil interne IOP entre le 2 février et le 20 mai 2021 et appartenant à plusieurs dizaines de milliers de demandeurs d’emploi dans 17 départements.«
Recevez les infos de la semaine ZATAZ, chaque samedi, par courriel.
Deux extractions dépassant 40 000 demandeurs d’emploi chacune (17 extractions comprenant entre 10 000 et 40 000 demandeurs d’emploi chacune, 44 extractions sur une volumétrie inférieure à 10 000 demandeurs d’emploi). Parmi ces requêtes, 3 ont été réalisées sur ses horaires de travail, les 39 autres ont été effectuées en dehors de ceux-ci entre 18h53 et 21h42.
L’agent fautif a été licencié pour faute grave comme le confirme Incyber. Il a contesté cette décision devant le conseil des prud’hommes. Il avait obtenu gain de cause le 12 décembre 2022. Pôle Emploi a alors fait appel de ce jugement. Tout ce petit monde s’est retrouvé le 1er février 2024 pour palabrer sur cet appel. Fin mars 2024, la Cour d’appel d’Amiens a validé le licenciement, citant de nombreux manquements aux obligations de confidentialité et de protection des données comme justification de la qualification de « faute grave« .
La société exerçant une activité d’agence d’intérim qui, ayant mis ce fichier sur un serveur non protégé, a permis la subtilisation des données personnelles appartenant à 58 124 demandeurs d’emploi n’a pas été citée.
En 2023, un autre prestataire de Pôle Emploi était impacté par une cyberattaque et le vol de plus de 10 millions de données. En 2024, sur le forum BreachForums [fermé par le FBI en mai 2024] un individu annoncé avoir en main des données de France Travail. Les quelques preuves qu’il fournira ne prouveront en rien l’infiltration et l’exfiltration.
