France Travail piraté, les données de 43 millions de personnes potentiellement compromises
Un mois seulement après une grande fuite de numéros de sécurité sociale causée par le piratage de deux opérateurs de tiers payant, un nouvel incident important touche un établissement public. France Travail (ex-Pôle emploi) a récemment été victime d’une cyberattaque qui a potentiellement conduit à l’extraction de données de 43 millions d’usagers.
« La base de données qui aurait été extraite de façon illicite contient les données personnelles d’identification des personnes actuellement inscrites, des personnes précédemment inscrites au cours des 20 dernières années ainsi que des personnes non inscrites sur la liste des demandeurs d’emploi mais ayant un espace candidat sur francetravail.fr », indique France Travail dans un communiqué.
Les données personnelles potentiellement dans la nature sont le nom, prénom, numéro de sécurité sociale, identifiant France Travail, adresse mail, adresse postale et numéro de téléphone des personnes inscrites aujourd’hui comme hier sur les listes de l’organisme. Les mots de passe et les coordonnées bancaires ne sont pas concernés par l’intrusion. C’est un maigre lot de consolation, sachant que les malandrins peuvent recouper les données avec d’autres bases compromises pour mener diverses attaques.
L’attaque a eu lieu entre le 6 février et le 5 mars, mais elle n’a été repérée que cette semaine à la suite de requêtes suspectes sur la base de données de l’établissement. L’intrusion a débuté par une usurpation d’identité de conseillers Cap emploi, l’organisme chargé de la recherche d’emploi des personnes handicapées.
France Travail alertera dans les prochains jours l’ensemble des personnes concernées par cet incident. Une enquête préliminaire a été ouverte par le parquet de Paris. Elle a été confiée à la brigade de lutte contre la cybercriminalité, qui a mis en place un système de plainte.
Comme toujours après une telle mésaventure, il faudra redoubler de vigilance vis-à-vis des messages ou des coups de téléphone concernant France Travail ou autre, les escrocs pouvant avoir dans leurs mains des données très précises.
Comme toujours, le point faible est entre la chaise et le clavier! Formez vos collaborateurs!!!!
@Aimable
*employés.
@simnico971
*Agents
@macstaw
collègues
sous-traitants
stagiaires
clients
bénéficiaires
partenaires
parents
enfants
amis
autres
Et ce chaque jour
[edit : tiens les étoiles ont généré des alternances italique/standard…]
@DG33
"edit : tiens les étoiles ont généré des alternances italique/standard…]"
Oui, les commentaires sont écrits en markdown : deux ** génèrent une italique.
@simnico971
Employés c’est une une catégorie socioprofessionnelle comme cadre ou agent de maîtrise.
On pourrait plutôt parler de « salariés » sil sont tous sous contrat avec l’entreprise ou de collaborateurs généralement s’ils sont aussi sous traitant.
@Aimable
Mouais, à l’époque du tout papier, c’était impossible. Donc le point faible, c’est juste la numérisation de la vie.
C'est dommage, après avoir dépensé 2 millions d'euros pour… euh… changer les papier à en-tête et les logos des agences, il manquait sûrement quelques milliers pour payer des informaticiens. Peut-être même qu'ils sont au chômage et grandement incités à participer au service de sécurité des jeux olympiques (oui il faut le préciser, France Travail dépense un pognon de dingue pour que tous les demandeurs d'emploi deviennent agents de sécurité au mois de juillet).
@Yohmi
Petite question, comment sait-tu que France Travail dépense de l’argent pour les JO ?
@kiddsoso
Parce que je suis demandeur d'emploi dans une catégorie totalement différente et que j'ai assisté à une réunion formidable, imposée (sous contrainte de radiation), en compagnie d'une dizaine d'autres personnes (dont des créateurs d'entreprise 😹) oú personne n'était concerné par le sujet, dans mon agence France Travail. Ces réunions ont été organisées et animées par des employés de France Travail et j'ai pu échanger avec des connaissances qui se sont retrouvées convoquées dans une configuration identique. Je ne sais pas qui a imposé ces "réunions d'information". Je précise que c'est sur Paris.
@Yohmi
Ah oui d’accord, ils ciblent tout le monde à mon avis 🤦♂️
Je suppose que les employés de France Travail eux-mêmes en ont rien à faire de ces « réunions »
@kiddsoso
Ah ça c'est certain ! Personne n'avait envie d'être là, et si les deux employées ont fait de leur mieux pour dynamiser la réunion, c'était une perte de temps pour tout le monde y compris pour elles.
C'est bien ça que je critique, tout comme ce changement inutile de nom, ça représente du temps et de l'argent, au frais du contribuable, pour rien. Non, c'est pas un changement de logo qui va permettre le retour à l'emploi, et c'est pas non plus des réunions obligatoires sans cible qui font avancer le schmilblik.
C'est de la gesticulation organisée par en haut pour pouvoir présenter un bilan où on a dépensé beaucoup et mis en place des actions, mais que les chômeurs sont vraiment des branleurs assistés qui veulent pas travailler, donc y'a pas de résultat.
C'est de la mauvaise volonté.
@Yohmi
"L’intrusion a débuté par une usurpation d’identité de conseillers Cap emploi,"
@raoolito
Tu peux même citer l'article en entier, il est intéressant !
@Yohmi
c'etait en reponse à cela
"il manquait sûrement quelques milliers pour payer des informaticiens. Peut-être même qu'ils sont au chômage"
les mots de passe forts et aléatoires ne sont pas forcément du ressort des dsi, même si c'est à eux de definir et d'appliquer la politique de sécurité
je doute qu'ils aient ete nombreux eut change qqchose
@raoolito
Reste que l'on ne met pas les données de dizaines de millions de citoyens (ce ne sont pas des clients) derrière une porte qui s'ouvre d'un coup sec avec une radiographie. C'est peut-être pas d'un informaticien dont y'a besoin, je n'en sais évidemment rien. Mais il manque quelque chose. Et si c'est d'une stratégie, alors quelqu'un dont c'est le rôle d'en définir une fiable. Et qui coûte probablement pas 2 millions d'euros. Probablement.
@Yohmi
de toute façon il y a eu effraction numérique donc la sécurité des données n'etait pas suffisante c'est indéniable
@raoolito
Pas forcément de leur ressort mais aujourd’hui obliger un mot de passe fort est assez facile à mettre en place
@Insomnia
et même indispensable !
@raoolito
Dans tous les cas les gens sont des fainéant, à mon boulot combien partent manger sans verrouiller leur session 😵
@Insomnia
Oui, mais on ne sait pas (en tout cas, moi je ne le sais pas en lisant l’article) si la porte a été forcée grâce a un cassage de mot de passe simple ou grâce au vol de mot de passe… dans le second cas, le fait de forcer un mot de passe complexe n’est pas suffisant.
@Yohmi
Ils payent très bien les informaticiens chez pôle emploi. Certains sont bons et difficiles à débaucher. Bon salaire, zéro pression, vie pépère, certains bossent sur des technos sympa, d’autres glandent rien et sont très heureux.
@cybercoll : eh ben à cette heure-ci, c’est peut-être un peu moins pépère pour eux et certains doivent avoir quelques suées.
@Captain Bumper
LOL. Non.
La faille est humaine, comme souvent. Le responsable va se faire taper sur les doigts, ils vont redemander à tout le monde de relire la charte informatique et d’être plus vigilants.
Et les informaticiens vont juste se dire: ils sont cons quand même les autres (et ils ont raison).
C’est tout.
Mais c’est beau d’y croire.
@cybercooll
Je suis profession médicale et je siège à la commission paritaire de la CPAM de mon département (réunion 2-3x par an pour présenter l'évolution des dépenses de santé par poste, les projets de la CNAM/des CPAM, les changements de nomenclature médicale, d'actes, de tarifs, l'actualité, les remontées des problèmes des professionnels, etc. etc.) et je peux te dire que de leur côté, et encore plus depuis le piratage des fichiers de tiers-payants mutuels par (semble-t-il) phishing et ce piratage chez FranceArbeit selon la même méthode, les procédures d'accès aux données ne cessent d'être compliqués par la CNAM (et qui vient encore de nous être confirmé à la dernière réunion la semaine dernière, où d'autres "tours de vis" vont être mis en place) : double facteur d'authentification avec la CPS, via d'autres renseignements (RIB/IBAN du compte en banque recevant les tiers-payants), CAPCHA, confirmation par mail, impossibilité de changer le mail/le tél de contact sans une procédure spécifique, etc. etc. Tout ça doit bien mobiliser les informaticiens de chez eux... Alors après qu'ils soient compétents/non compétents, pépères/pas pépères, bien payés ou pas, je ne saurais me prononcer, mais ça doit leur demander de bouger un peu...
Heu… les données des personnes inscrites ces 20 dernières années ? La RGPD n’oblige pas la suppression de données passé un certain temps d’inactivité ????
@Tom PostProd
pas forcement les noms, et si les gens sont revenus de temps en temps pointer ca réactive le dossier
@raoolito
43 millions de pointeurs cela fait bcp...
Non c'est le classique 'faites ce que je dis et pas ce que je fais'
@dorninem
C’est bien connu, les lis ne s’appliquent pas à l’état et ses services (cf. tous ces CDD « longue durée »…)
@Derw
En effet... C'est vraiment n'importe quoi.
Quand je pense à l'Estonie ou une administration ne peut pas demander deux fois la même information sinon le citoyen peut demander jusqu'à 900€ de pénalité à l'état 😬
Pas exactement le même sujet mais c'est lié car avoir x copies recopies de données à y endroits rend quasiment impossible la sécurisation, tracabilite des accès
@dorninem
amusant comme règlement parce que finalement pour l'État ça ne coûte rien vu que ça lui revient dans les poches, c'est juste le service qui l'a demandé qu'il va perdre des jetons
c'est amusant
@raoolito
Ben c'est le citoyen qui empoche... Même si je ne suis pas certain du montant.
Dans tous les cas c'est un pays extrêmement performant sur le numérique car (contrairement à d'autres dont un en particulier en ce moment...) après la sortie du bloc des 'pays de l'est soumis à la Russie ils ont repensé toute l'administration, remplace le russe comme langue de l'administration, créé une solution axée sur la rapidité tracabilite et efficacité... Donc pleins de vieux systèmes obsolètes ont été stoppés, l'équivalent des notaires à été divisé par 10 car la grande majorité des actes sont numériques et inscrits sur une solution proche de la blockchain...
@dorninem
inutile de vous rappeler combien notre propre pays a bien des difficultés avec le numérique il suffit de lire les articles concernant la carte d'identité numérique ... Et surtout les commentaires
> Quand je pense à l'Estonie où une administration ne peut pas demander deux fois la même information
En France aussi (en théorie), c'est le DLNUF.
(UNE administration ? Ou toute L'administration ?)
@Tom PostProd
Sauf obligation légale. Ils où ils sont stupides c'est d'avoir ces données dans la même base de données que celle des membres "actifs".
@Tom PostProd
Si France travail leur cherche toujours sans succès un emploi depuis 20 ans c’est légitime non ? Par contre ça amène à d’autres question 😂
@Tom PostProd
Pour les personnes inscrites sur la liste des demandeurs d’emploi, les espaces personnels et les données sont conservés pendant une durée maximale de 20 ans après la cessation d’inscription sur la liste des demandeurs d’emploi dans les conditions prévues à l’article R. 5312-44 du code du travail.
https://www.francetravail.fr/informations/informations-legales-et-conditio/protection-des-donnees-personnel.html
@Phiphi
Ouf, ils ont donc effacé automatiquement les données au-delà de 20 ans, sinon la collecte aurait pu être plus conséquente que heu… 43 millions 😱 pendant… 1 mois 😡
@DG33
En tout cas, les gens qui ont lu les petites lignes avant de s’inscrire à pôle emploi savaient à quoi s’en tenir !
Comment ça ils n’ont pas eu le choix ?
🤷♂️
@Tom PostProd
Je ne crois pas ça soit possible dans le cas présent dans la mesure où France Travail dédommage aussi les demandeurs d’emploi durant le laps de temps de leur indemnisation etc.
Et ce genre de données je ne crois pas qu’il soit soumis au RGPD, car lorsque toi tu perdras tes donnes, papiers, etc. France Travail doit avoir une trace des transactions, fiche d’indemnisation transmise.
Ha la laaa. On n'est plus à l'abri de rien...
Et on dématerialise les cartes d’identité et les permis de conduire…
@Giloup92
Exactement ce que je pensais! Cette marche forcée dans le tout numérique je ne sais pas si c’est si bon. Alors certes un papier officiel peut être falsifié / copié / usurpé mais sa touche très peu de monde. Avec le tout informatique on touche directement à des millions d’individus.
@Giloup92
Un peu comme Apple Pay, toutes les données de la carte d’identité et du permis de conduire sont stockées sur le téléphone. Donc normalement pas de risque …
Les données sont aussi sur les serveurs de l’État, je présume.
@Giloup92
D’une certaine manière oui .. comme vos impôts, vos taxes, vos salaires ….
@Giloup92
Elles y sont déjà, même en version papier. La dématérialisation côté utilisateur final ne changera pas grand chose. Vous pensez que la demande de passeport/CNI/permis de conduire est envoyée au format papier depuis la mairie de départ jusqu’aux imprimeries nationales?
Je vais pas manquer de boulot dans les futures années je pense, c’est impressionnant les sites français qui se font hack
@squall1991
il y a une vague massive de hack ces derniers temps, Vladimir n'est pas content il le fait savoir
Pas grave, comme il va tout faire péter dans quelque temps.
Pages