Piratage de France Travail : trois personnes interpelées, des dégâts limités ?
La plateforme France Travail (ex-Pôle emploi) a récemment été victime d’une cyberattaque d’envergure : les données de 43 millions de personnes ont potentiellement été piratées. Les informations concernées contiennent pêle-mêle nom, prénom, numéro de sécurité sociale, identifiant France Travail ou encore adresse mail. Une enquête a été ouverte par le parquet de Paris, qui a mené à l’arrestation de 3 personnes d’une vingtaine d’années. Elles ont été placées en détention provisoire.
Dans un communiqué, la procureure de Paris Laure Beccuau a expliqué que les trois suspects ont été identifiés suite à des investigations techniques et téléphoniques. Le contenu de leur matériel informatique a confirmé que certains d’entre eux avaient une activité d’escroquerie impliquant des pratiques d'hameçonnage. Elle précise :
Des premiers éléments identifiés par France Travail, il est ressorti qu’entre les 6 février et 5 mars des comptes d’agent Cap Emploi, habilités à accéder aux ressources présentes sur le système d’information de France Travail, avaient été utilisés pour procéder au téléchargement de données de la base des demandeurs d’emploi évaluée à 43 millions de données à caractère personnel.
Pour récupérer des données, les pirates ont donc mis la main sur des comptes Cap emploi, l’agence chargée des demandeurs d’emploi en situation de handicap. Aidés d’une application générant de faux numéros, les malandrins ont appelé la plateforme d’assistance de Cap Emploi en se faisant passer pour des techniciens. « Le faux informaticien a simplement dit qu'il avait perdu son code d'accès et qu'il faudrait réinitialiser son compte personnel », explique une source proche du dossier au Parisien.
Si le communiqué originel mentionnait une exfiltration « potentielle » des données de 43 millions de personnes, la fuite pourrait avoir moins d’ampleur que ce que l’on imaginait. Une source de Next précise que le nombre de comptes touchés se situerait entre 1 et 1,5 million, soit environ 3 % du contenu de la base de données. La source estime qu’il ne s’agit visiblement pas « d’une exploitation de masse de la base de données de France Travail ».
Plutôt que de brasser large, l’idée des pirates aurait consisté à effectuer des requêtes ciblées. Selon Next, celle-ci aurait concerné un nombre limité de mots-clefs et des zones géographiques spécifiques. Le mode opératoire semble montrer que les malfrats n’étaient pas en capacité d’exporter l’intégralité de la base de données. L’enquête se poursuit, le parquet cherchant désormais d’éventuels autres acteurs et à « évaluer la part de responsabilité de chacun »•
Et il n’y avait pas d’alerte quand un employé télécharge 1 million de données ?
@Giloup92
Lisez l’article, les personnes se sont fait passer pour des techniciens d’une boîte tierce.
Et copier 1 millions de donnés doit prendre environ 1 seconde donc bon (c’est pas comme si la personne était en mode mission impossible et que la copie durait 5 min).
Il manque surtout un cryptage de données.
1) on ne donne pas un code d’accès à un " technicien" par téléphone
2) un employé n’a pas besoin de télécharger 1 million de données pour son travail, même si ça va vite à charger. Ce fait aurait dû attirer l’attention.
@Giloup92
1) évidement mais ça va limiter le job de beaucoup de gens ou engorger la DSI
2) évidement
@Giloup92
1. Non c’est vrai mais c’est comme ça que les gros piratages fonctionnent: attaquer l’humain plutôt que la machine.
2. Ça a fait remonter une anomalie et c’est pour ça qu’on sait qu’il y a eut une brèche. C’est compliqué de détecter un brèche et dans aucun cas il n’y aura une sirène qui s’allume dans le bureau des sys admins.
@Giloup92
en théorie, c’est cependant moins simple à implementer et contrôler:
l’accès qui a été utilisé peut avoir un besoin légitime qui suppose un accès a un large set de données: aggregation de données, statistiques, recherche sur champs multiple ou par filtre.
dans ces cas là il peut être difficile de restreindre l’accès au « bon » nombre de données.
@pelipa91
dans le cas d’accès légitime, chiffrer peut malheureusement ne pas servir a grand chose: les accès utilisés peuvent avoir besoin d’accéder a la donnée en clair.
@Sometime
Oui et non.
Si tu met la clef au même endroit que les données chiffrées en effet, aucun intérêt.
Mais si tu met la clef dans une autre base de données qui n’est pas reliée à celle des donnés chiffrées, là ça me semble pertinent.
(Ça demande de truander deux bases au lieu d’une seule)
Certes les algos de chiffrement peuvent être cassés par force brute. Mais au moins tu as mis un peu de sécurité (vis à vis du type d’attaque en question)
@pelipa91
pas vraiment. si les comptes initialement utilisés étaient habilités a accéder a la donnée, ils auraient donc aussi probablement été habilité a y accéder si celle-ci était chiffrée (où que soit la clé).
@Giloup92
Depuis le début de cette histoire ça m’intrigue.
Comment un employé peut récupérer autant d’identifiants en si peu de temps alors qu’il est censé y accéder unitairement.
Exactement
Visiblement chez France Travail ils n'ont pas mis en place de vérification de tentatives de connexion par double facteur. (Où un mot de passe ne suffit pas pour se connecter.)
De nos jour c'est quasiment une faute professionnelle de la part de leur DSI.
C'est du Mitnick tout craché. Et ça marche encore.
.DR.
Je ne crois plus du tout à cette mascarade. Quelques choses relatifs à cette attaque vont se passer un jour..
Dégâts limités / Données perso de 43 millions de personnes.
Ça pourrait être 60 millions, voilà pourquoi ;-)
Aujourd'hui nous n'avons plus d'excuse ! Il ne devrait-être possible d'extraire autant de données..... Il existes plusieurs sécurité pour limiter la casse. La c'est la porte ouverte !
Ça fait flipper.
J’ai aussi depuis quelques semaine plein de tentatives d’intrusions sur mon compte Ameli Pro…
Honnêtement c’est souvent la même chose… On cible un humain qui travaille directement dans la boîte et on utilise les accès gagnés grâce à l’attrape nigot précédent.
Certaines failles importantes sont souvent des erreurs humaines…
@AnaDarius : oui, la plupart même. Il faut voir le nombre de personnes qui laissent leur ordinateur sans "surveillance" ou sécurité le temps d'une pause café, ou qui rechignent à changer leur MdP régulièrement, même dans des entreprises sensibles (vu dans un Conseil Départemental cette semaine).
@AnaDarius
Et l’opérateur qui a donc perdu son accès pour cause de changement de mot de passe par le hacker, pendant un mois il ne s’est pas connecté ni avec son ancien mot de passe (invalidé) ni en demandant un nouveau mot de passe (ce qui aurait invalidé le mot de passe des hackers)…
Ou alors ils ont chacun à leur tour généré demande de mot de passe sur demande de mot de passe sans que ça éveille quelque soupçon.
Question sécurité, ça ne m'étonnerait pas que l'APHP (les hôpitaux de Paris) soit bientôt piratée à son tour.
En effet, dans plein de bureaux, il y a un joli post-it jaune collé sur l'écran avec le mot de passe. Il suffit de profiter d'un moment d'intention du personnel (médecin par exemple) pour se pencher un peu et noter le mot de passe !
Vu, de mes yeux vu.
@marc_os : c'est évident, et comme ça à plein d'endroits... La sensibilisation doit devenir un souci majeur...
@smog
« La sensibilisation doit devenir un souci majeur... »
Ce personnel n’est pas stupide.
C’est juste que la protection par mot de passe de certains terminaux n’est pas adaptée à leur utilisation par plusieurs personnes, des infirmiers du pool ou interimaires.
Par ailleurs le mot de passe sur post-it c’est juste pour entrer dans une session locale « generique » Windows : « bureau », « infirmerie »…. qui est juste là pour que tu puisses te connecter à partir d’elle sur le serveur d’applications. Pour avoir acces aux logiciels métiers, il faut un autre mot de passe strictement perso pour se connecter sur le serveur applicatif et bien souvent un autre pour chaque application.
A ceci ajoutez des mots de passe qu’on nous oblige à changer tous les 3 mois…
Les mêmes « experts » qui ont pondu ca viennent nous critiquer sur notre gestion de la sécurité.
Comme je dis souvent, le problème est derrière la chaise, certainement pas entre elle et l’écran.
@marc_os
« pour se pencher un peu et noter le mot de passe ! »
Tu ne pourras pas en faire grand chose, en dehors d’entrer sur une session LOCALE widows qui est juste là pour que tu puisses te connecter aux serveurs d’applications, avec des mots de passe qui, eux, sont personnels et ne trainent sur aucun post-it.
Pourquoi France Travail détient les données de 43 millions de personnes ?
Je n'ai pas de réponse, et j'ajoute "pourquoi le chiffrement de ces données n'est-il pas complet ?".
Mais je crois aussi que ce ne sont pas 43 M de personnes, certaines y sont plusieurs fois (dossiers successifs). Attention, d'une part j'ai lu ça je ne sais où (fiabilité ?) et d'autre part ça ne change pas grand chose au problème que vous soulevez ;-)
@etienner33
Les dossiers des personnes ayant créé un dossier ANPE /pôle emploi / France Travail / sur 20 ans.
Il me semble que pôle emploi devait prévenir les personnes concernées par le piratage.
On sait si des personnes on été prévenues individuellement ou s’il considèrent que l’encart d’information qui m’empêche de me connecter sur safari est suffisant ?
Deux petits jeunes qui entrent tranquillement sur une base de millions de personnes en réinitialisant un pauvre mot de passe...
Les vrais gros pirates sont déjà passé par là, inaperçus, avec téléchargement des 100 millions de données 😊
Faut arrêter de rêver ou de se faire peur... c'est déjà parti dans la nature 😜