Cyberattaque France Travail : l’analyse détaillée deux mois aprés

Posted On 26 Mai 2024

Tag: France travail, investigation radio france

En début d’année 2024, la France a été secouée par une importante cyberattaque. Ce piratage, ciblant l’ex-Pôle Emploi, aurait compromis les données de 43 millions de personnes. Retour sur une histoire de hacking presque pas comme les autres !

Recevez les infos de la semaine ZATAZ, chaque samedi, par courriel.

Recevez les infos ZATAZ dans votre téléphone pour ne rien rater des cyber’actus.

Mars 2024, des – pirates informatiques – annoncent sur le site BreachForums [fermé par le FBI en mai] que la base de données de France Travail avait été copiée. Les pirates n’apporteront aucune preuve de l’exfiltration. Une vente qui sera rapidement avortée. Peut-être en raison des arrestations de trois internautes [dont un étudiant en école de commerce et un streamer TikTok] ; peut-être aussi car ils n’avaient pas volé 43 millions de fiches France Travail.

Les quelques informations que les pirates vont diffuser sur Telegram et sur BreachForums, incluaient des noms, prénoms, adresses, courriels, numéros de téléphone et de sécurité sociale, mais pas les mots de passe ou coordonnées bancaires des inscrits. Cette attaque aurait donc, selon leur dire, exposé plus de la moitié de la population française à des risques de fraude et d’usurpation d’identité.

Cap Emploi : la porte d’entrée des hackers

La cellule investigation de radio France est revenue sur cette histoire qui pourrait sembler exceptionnelle, mais qui est, malheureusement, d’une banalité affligeante. Depuis le 1er janvier, par exemple, le Service veille ZATAZ a pu repérer pas moins de 10 000 bases de données mises en vente ou diffusées dans le darkweb et le web par des pirates informatiques. Rien qu’en ce mois de mai 2024, plus de 300.

Concernant la cyber malveillance de mars 2024, les pirates n’ont pas attaqué directement France Travail. Ils ont exploité une faille via Cap Emploi, un organisme récemment devenu partenaire de France Travail, spécialisé dans l’accompagnement des personnes handicapées dans leur recherche d’emploi. Cap Emploi avait accès à une partie de la base de données de France Travail, notamment au « système de recherche usagers« , contenant les informations élémentaires des demandeurs d’emploi.

Les hackers ont usurpé l’identité de deux agents de Cap Emploi. « On ne sait pas encore comment, mais ils ont eu accès à leur nom, prénom et identifiant, » a expliqué Franck Denié, directeur général adjoint en charge du système d’information de France Travail à Radio France. Connaissant le mécanisme de support pour renouveler les mots de passe, les pirates ont simplement téléphoné au service d’assistance, se faisant passer pour les agents. Une fois le mot de passe obtenu, ils ont pu accéder au système. Une motivation TRÉS étonnante pour trois internautes qui sont annoncées comme des non professionnels du cybercrime.

Compliqué à trouver un identifiant Cap Emploi dans le darkweb ? En 5 minutes, le service veille ZATAZ a pu en retrouver des dizaines. Dans certains cas, avec le login et le mot de passe, dans d’autres cas, avec l’adresse électronique. Cette mini recherche nous fait affirmer qu’au moins un millier de données d’identification « Cap Emploi » sont accessibles, encore aujourd’hui, dans des dizaines de contenus pirates. Bref, du pain béni pour des voyous 2.0 comme je l’explique dans l’enquête de la cellule investigation de Radio France.

Recevez les infos de la semaine ZATAZ, chaque samedi, par courriel.

Recevez les infos ZATAZ dans votre téléphone pour ne rien rater des cyber’actus.

France Travail : des avertissements ignorés ?

L’enquête menée par Radio France révèle que France Travail avait été averti dès 2022 de la possibilité d’une telle attaque. Un document d’analyse de risque, produit dans le cadre du projet de rapprochement avec Cap Emploi, avait identifié cette faille et préconisait une double authentification. Cependant, ce système n’a pas été mis en place à temps. « Les conditions logistiques n’étaient pas réunies pour qu’on puisse le faire dès le début du projet, » a expliqué France Travail. L’implémentation de la double authentification nécessitait d’équiper les agents de Cap Emploi de smartphones, de les former et de déployer des adresses électroniques normalisées. Ces prérequis n’étaient pas en place au moment de l’attaque. Bien que la double authentification soit désormais en place pour tous, cette mesure est arrivée trop tard.

Une intrusion prolongée

Un autre aspect inquiétant de cette affaire est la durée de l’intrusion. Selon le parquet de Paris, les hackers ont eu accès au système du 6 février au 5 mars 2024, soit près d’un mois d’activité non détectée. France Travail a expliqué avoir repéré une première intrusion le 6 février, probablement une phase de test des pirates. Ce n’est que le 29 février, avec un transfert massif de fichiers, que les alarmes ont été déclenchées. Environ 25 gigaoctets de données ont été transférés, correspondant potentiellement à l’intégralité de la base de données.

Le 19 mars 2024, trois jeunes hommes âgés de 21, 22 et 23 ans ont été arrêtés et mis en examen. Ces individus, sans antécédents criminels majeurs, ont été identifiés grâce aux traces numériques laissées par leurs activités. Le plus jeune, étudiant en commerce, et les deux autres, frères vivant à Valence, ont été décrits comme des personnes « sans histoire » et très casanières.

Comme ZATAZ a pu vous le montrer, certains professionnels de la vente et de l’achat de bases de données n’ont jamais cru à la commercialisation de cette base de données. Existe-t-elle vraiment ? Si oui, espérons que nos autorités ont pu la détruire des machines et des potentiels espaces de stockage « cloud » qui auraient pu servir à la sauvegarder. Espérons aussi qu’un quatrième larron, celui qui répondait encore sur Telegram après les arrestations, ne possède pas cette base de données. Qu’il ne la garde pas au chaud pour plus tard.

Recevez les infos de la semaine ZATAZ, chaque samedi, par courriel.

Recevez les infos ZATAZ dans votre téléphone pour ne rien rater des cyber’actus.

Au sujet de l'auteur

Damien Bancal (damienbancal.fr) est un expert internationalement reconnu en cybersécurité. Il a fondé le projet Zataz en 1989. ZATAZ.com est devenu une référence incontournable en matière d'information sur la sécurité informatique et les cybermenaces pour le grand public. Avec plus de 30 ans d'expérience, Damien Bancal s'est imposé comme une figure majeure dans ce domaine, contribuant à la sensibilisation et à la protection des internautes contre les cyberattaques. Sa carrière est marquée par une forte implication dans l'éducation à la cybersécurité, notamment à travers des conférences et des publications spécialisées. Il est l'auteur de plusieurs ouvrages (17) et articles (plusieurs centaines : 01net, Le Monde, France Info, Etc.) qui explorent les divers aspects du piratage informatique et de la protection des données. Il a remporté le prix spécial du livre du FIC/InCyber 2022. Finaliste 2023 du 1er CTF Social Engineering Nord Américain. Vainqueur du CTF Social Engineering 2024 du HackFest 2024 (Canada). Damien Bancal a également été largement reconnu par la presse internationale dont le New York Times, qui souligne non seulement son expertise mais aussi son parcours inspirant. Par exemple, un portrait de La Voix du Nord le décrit comme "Monsieur Cybersécurité", soulignant son influence et son rôle essentiel dans ce domaine. Enfin, il figure parmi les personnalités les plus influentes dans la cybersécurité, comme le souligne Le Big Data, et a été classé parmi les 500 personnalités tech les plus influentes en 2023 selon Tyto PR. Chroniqueur TV et Radio (France Info, M6, RTL, Medi1, Etc.) Volontaires de la réserve citoyenne - Gendarmerie Nationale et de l'Éducation Nationale. Médaillé de la DefNat (Marine Nationale) et de la MSV (Gendarmerie Nationale). Entrepreneur, il a lancé en 2022 la société veillezataz.com.