Piratage de France Travail : Voici comment les pirates ont pu opèrer !

L’arrestation de trois jeunes pirates informatiques français dans l’affaire des 43 millions de données de France Travail rappelle que l’infiltration d’un système informatique peut sembler être un jeu d’enfant. Découvrons ensemble comment les pirates agissent, et ce n’est guère brillant.

Il n’est pas certain que les trois pirates informatiques arrêtés par la Police Judiciaire le 13 mars 2024, soupçonnés d’avoir infiltré un système de France Travail (anciennement Pôle Emploi / ANPE), aient employé la méthode que je m’apprête à décrire. Les possibilités de malveillance numérique sont innombrables. Pour se protéger, il est crucial de connaître les techniques principales.

Ils ne sont ni Ukrainiens, ni Russes, ni Chinois, encore moins membres d’un groupe de pirates informatiques chevronnés. Les deux premiers suspects s’appellent Oualid et Adil C. (frères de 21 et 23 ans). Deux chômeurs, connus pour escroquerie à la carte bleue. Les deux hommes vivaient à Valence, chez leurs parents. Le troisième personnage, un jeune adulte de 22 ans, étudiant dans une école de commerce. Ils se seraient d’abord introduits dans le système informatique de Cap Emploi, une filiale de l’organisme, avant de récupérer les données de millions d’utilisateurs.

Mais comment des pirates peuvent-ils réussir une telle infiltration ? Comme je l’ai expliqué sur RFI, le hack du cerveau par le Social Engineering ! Comme je l’ai expliqué dans ma chronique sur M6 et RTL dans « Ca peut vous arriver« , des informations qui ont pu servir [ou auraient pu servir] à des arnaques phishing aux couleurs de France Travail/France Connect.

Hameçonnage

Ah, le fameux courriel piégé avec son lien renvoyant sur un site frauduleux. Un grand classique. La partie la plus délicate est, si l’on peut dire, de trouver l’adresse électronique qui ciblera au plus près la future victime. Le BEC (Business Email Compromise), ou courriel usurpateur d’entreprise, s’avère le plus efficace. Il est d’autant plus facile de convaincre l’interlocuteur si ce dernier se trouve dans un environnement graphique familier. N’oubliez jamais : attaquer le cerveau, c’est exploiter sa réticence à réanalyser ce qu’il connaît déjà.

Stealer

Cheval de Troie, Trojan, RAT, stealer… Ces termes techniques en cybersécurité, souvent galvaudés par le marketing, désignent tous un type de logiciel espion. Comme je l’explique depuis des années, piéger des internautes n’a rien de compliqué. Il suffit de jouer sur leurs envies, leurs frustrations, et le tour est presque joué. L’envie d’obtenir le dernier logiciel, jeu ou film à la mode sans payer est aussi ancienne que l’ordinateur lui-même.

Ainsi, la diffusion de codes malveillants via des outils de piratage (cracks) de jeux populaires comme Fortnite, Apex Legends ou de logiciels comme Photoshop constitue un appât aussi massif qu’efficace. Les cibles, de 7 à 77 ans, sont particulièrement vulnérables, les plus jeunes tombant facilement pour des logiciels de triche destinés à des jeux comme Call of Duty ou FIFA. Par exemple, une récente compétition d’e-sport a dû être interrompue après qu’un pirate a installé un outil de triche sur les ordinateurs des joueurs en plein match.

Le 17 mars 2024, j’ai découvert un espace de stockage utilisé par un groupe de hackers malveillants spécialisés dans les stealers, contenant les données de plus de 50 000 ordinateurs infiltrés et espionnés. Ces groupes sont nombreux, et certains de leurs membres n’ont pas plus de 15 ans.

Servez-vous, c’est moi qui log

Les logs, ces fichiers contenant des informations de connexion (URL : ID : Mot de passe), se comptent par milliards, et je pèse mes mots. Par exemple, le 20 mars 2024, j’ai pu accéder à 1,7 million de logs appartenant exclusivement à des Français. Une analyse rapide révèle 33 323 occurrences du mot de passe « 123456 » ; 20 028 fois « 123456789 » ; et « Azerty » se place en troisième position avec 11 219 cas, ayant au moins le mérite d’inclure une majuscule. Il n’est donc pas nécessaire d’être un génie pour s’immiscer dans les secrets de certains internautes avec de tels mots de passe.

Les trois individus arrêtés, qui, au passage, n’ont peut-être pas dérobé l’intégralité des informations mentionnées dans l’alerte de France Travail, ont peut-être simplement récupéré des logs, ou des combos (regroupements d’informations obtenues ça et là), comprenant des adresses électroniques et des mots de passe, et utilisé ces données pour infiltrer ce qu’ils pouvaient.

Reste à savoir s’ils agissaient sur commande, ou s’ils avaient des acheteurs ou vendeurs pour les informations collectées illégalement. La Police Nationale et le Parquet de Paris sont actuellement en train de démêler l’affaire. À ce jour, aucune base de données n’a été mise en vente ou rendue accessible dans les dizaines de milliers d’espaces surveillés par le Service veille ZATAZ.