Ce que l'on sait de la cyberattaque qui a touché France Travail et concerne "potentiellement" 43 millions de personnes

Deux cyberattaques d'ampleur en trois jours. Après une attaque informatique ayant ciblé plusieurs services de l'Etat dimanche, France Travail (ex-Pôle emploi) a également été visé par des pirates informatiques, mercredi 13 mars.

Des informations concernant des dizaines de millions de personnes ont peut-être été compromises, a annoncé l'organisme public dans un communiqué. Le parquet de Paris a ouvert une enquête afin d'identifier les auteurs de l'attaque, qui n'a pas été revendiquée. Voici ce que l'on sait de cette affaire. 

Des données personnelles de 43 millions de personnes "potentiellement" dérobées

Dans son communiqué, France Travail explique que "la base de données qui aurait été extraite de façon illicite contient les données personnelles d'identification des personnes actuellement inscrites" comme demandeurs d'emploi. Mais pas seulement : sont aussi concernées "des personnes précédemment inscrites au cours des vingt dernières années" ajoute l'opérateur, "ainsi que des personnes non inscrites sur la liste des demandeurs d'emploi, mais ayant un espace candidat sur francetravail.fr". Soit "potentiellement les données personnelles de 43 millions de personnes". L'attaque a également concerné Cap emploi, l'organisme en charge de la recherche d'emploi des personnes handicapées.

France Travail précise que, "compte tenu des investigations techniques menées, les données personnelles d'identification exposées sont les suivantes : nom et prénom, date de naissance, numéro de Sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone". France Travail assure toutefois qu'il n'y a "aucun risque sur l'indemnisation" des bénéficiaires, les mots de passe et coordonnées bancaires n'étant pas concernées par ce vol. 

Les personnes touchées invitées à la vigilance et à porter plainte

Les personnes concernées sont encouragées à porter plainte via un système simplifié, spécialement mis en place par la brigade de lutte contre la cybercriminalité de la direction de la police judiciaire de Paris. La Commission nationale de l'informatique et des libertés (Cnil) préconise en outre dans un communiqué "d'être particulièrement vigilant par rapport aux messages (SMS, mails)" reçus depuis le début de l'attaque.

Une vigilance accrue, notamment si ces messages invitent "à effectuer une action en urgence, telle qu'un paiement". "Vous allez recevoir des courriels liés à France Travail, parfaitement imités, sans aucune faute d'orthographe, pour vous demander des données bancaires", avertit sur franceinfo Pierre Penalba, expert en cybercriminalité. La Cnil recommande également de s'assurer d'avoir des mots de passe "suffisamment robustes" ou encore de vérifier "périodiquement les activités et mouvements" sur ses différents comptes. 

Si "la fuite de données ne concernerait ni les mots de passe, ni des coordonnées bancaires", il est toutefois "possible que les données ayant fait l'objet de la violation soient couplées, par des acteurs malveillants, à d'autres informations provenant de fuites de données antérieures", prévient encore la Cnil. "La vigilance est donc de mise, dans les prochains jours, mais aussi et surtout à plus long terme."

Une enquête préliminaire ouverte par le parquet de Paris

D'après le service public d'aide aux victimes de cybermalveillance, l'attaque a eu lieu "entre le 6 février et le 5 mars" et a été détectée par la suite par France Travail, qui a "déposé plainte auprès des autorités judiciaires". Une enquête préliminaire a été ouverte par le parquet de Paris et confiée à la brigade de lutte contre la cybercriminalité de la direction de la police judiciaire.

La Cnil a annoncé dans son communiqué mener sa propre enquête. A ce stade, on sait simplement que l'opération a débuté par une "usurpation d'identité de conseillers Cap emploi", a précisé l'opérateur, qui a ensuite "remarqué des requêtes suspectes". 

Une attaque "a priori pas du tout en lien" avec celle qui a visé des ministères dimanche

Cette attaque est survenue seulement trois jours après celle qui a visé les services de l'Etat dimanche. Toutefois, elles ne sont "a priori pas du tout en lien", affirme France Travail. Revendiquée par différents groupes de hackers réputés prorusses, l'attaque de dimanche, d'une "intensité inédite" selon le gouvernement, a ciblé "de nombreux services ministériels". A ce stade, ses conséquences ont "été [réduites] pour la plupart des services". Le parquet de Paris a également ouvert une enquête sur cette autre opération.

La cyberattaque qui a visé France Travail ressemble davantage à celle qui a touché les mutuelles Viamedis et Almerys le 7 février. Des données comme l'état civil, le numéro de Sécurité sociale et des informations sur la mutuelle de plus de 33 millions de personnes avaient alors été volées. Là encore, aucune donnée bancaire n'avait été dérobée. Yann Padova, ancien secrétaire général de la Cnil, alertait toutefois sur franceinfo sur le risque "assez important" concernant "les escroqueries", "le phishing", ou "l'usurpation d'identité". A ce stade, aucun lien n'a été mis en évidence entre les deux attaques.