Retour sur le piratage majeur subi par France Travail

Maxime Tellier, journaliste de la cellule d’investigation de Radio France, a publié, le 25 mai 2024, une longue enquête sur le piratage dont a été victime France Travail, en février-mars 2024. Trois cybercriminels, âgés de 21 à 23 ans, ont réussi à dérober une base de données contenant les informations personnelles de 43 millions d’inscrits ou d’anciens inscrits. Les forces de l’ordre ont arrêté les trois jeunes gens, le 19 mars 2024.

L’enquête confirme que cette compromission a pour origine l’intégration à France Travail de Cap emploi, une agence dédiée au retour à l’emploi des personnes souffrant de handicap. Cette intégration a en effet accordé aux agents de Cap emploi les mêmes privilèges d’accès que ceux de France Travail. Il a alors suffi aux trois attaquants d’usurper l’identité d’un agent de Cap emploi et d’activer une procédure de renouvellement de mot de passe pour accéder à la base de données.

Maxime Tellier révèle surtout que la direction de France Travail avait été alertée, dès 2022, d’un tel scénario d’attaque. Ses services informatiques lui avaient transmis un rapport pointant le risque qu’un « attaquant usurpe l’identité d’un agent Cap emploi et accède aux données du SI Pôle emploi ». L’existence de ce document a été dévoilée par la CGT Pôle emploi, puis confirmée par la direction de France Travail. 

Pour supprimer ce risque, le rapport préconisait de déployer au plus vite la double authentification pour les agents de Cap emploi. Mais France Travail devait, pour cela, équiper ces agents en smartphones, les former, et déployer des adresses e-mail normalisées. La lourdeur du processus a empêché l’établissement public de le mettre en œuvre avant l’attaque.