ZATAZ » France Travail sanctionné après une intrusion massive

Au début de 2024, des attaquants ont franchi les défenses de France Travail en misant sur l’humain. La CNIL estime que l’organisme n’a pas assez verrouillé l’accès, ni assez surveillé.

Une intrusion survenue au premier trimestre 2024 a permis à un ou plusieurs attaquants d’entrer dans le système d’information de France Travail via des techniques d’ingénierie sociale. Les assaillants ont usurpé des comptes de conseillers Cap emploi, structures dédiées à l’accompagnement des personnes en situation de handicap. Les investigations concluent à un accès aux données de toutes les personnes inscrites, ou l’ayant été sur vingt ans, ainsi qu’aux détenteurs d’un espace candidat sur francetravail.fr, incluant numéros de sécurité sociale, emails, adresses postales et téléphones. La CNIL prononce 5 millions d’euros d’amende et impose des correctifs sous astreinte.

Des comptes Cap emploi détournés, des données exposées

Le scénario raconté par le régulateur est classique, mais redoutablement efficace, il ne commence pas par une faille logicielle, il démarre par une interaction. Un scénario que ZATAZ vous avez raconté. Les pirates avaient exploité la même technique que pour la grande majorité des fuites de données ayant visé la France depuis 2022 [les prémiéres alertes de ZATAZ à ce sujet].

Au premier trimestre 2024, un ou plusieurs attaquants ont réussi à pénétrer le système d’information de France Travail en s’appuyant sur l’ingénierie sociale, une méthode qui exploite la confiance, l’ignorance ou la crédulité. Cette approche leur a permis d’usurper des comptes de conseillers Cap emploi, les structures chargées d’accompagner, de suivre et de favoriser le maintien dans l’emploi des personnes en situation de handicap. Une fois l’identité numérique obtenue, l’accès devient un levier, et le périmètre consultable s’élargit.

Les investigations établissent que les attaquants ont pu accéder aux données de l’ensemble des personnes inscrites, ou qui l’ont été au cours des vingt dernières années, ainsi qu’aux personnes disposant d’un espace candidat sur francetravail.fr. Le lot comprend des informations fortement identifiantes, numéros de sécurité sociale, adresses email et postales, numéros de téléphone. En revanche, le régulateur précise une limite importante, les dossiers complets des demandeurs d’emploi, susceptibles d’inclure des données de santé, n’ont pas été consultés. Ce détail n’efface pas le risque, car l’association d’un identifiant stable, de coordonnées, et d’un historique d’inscription constitue une matière première exploitable pour l’escroquerie, l’usurpation d’identité, ou le ciblage social, précisément le terrain où l’ingénierie sociale prospère.

En toile de fond, l’affaire révèle une réalité de renseignement opérationnel, l’adversaire n’a pas besoin de tout voir pour agir. Il lui suffit d’obtenir assez d’indices pour cartographier, trier, prioriser, puis approcher les bonnes personnes au bon moment, avec un prétexte crédible.

Dès 2022, des pirates commericalisaient des accés et des fuites qui deviendront publiques en 2024/2025 !

Une sécurité jugée insuffisante, 5 millions d’euros et astreinte

Le contrôle mené par la CNIL conclut à une insuffisance des mesures techniques et organisationnelles destinées à protéger les données personnelles. La formation restreinte, l’organe chargé de prononcer les sanctions, estime que France Travail n’a pas déployé des dispositifs qui auraient pu compliquer l’attaque. Le cadre est celui de l’article 32 du RGPD, qui impose une obligation de moyens, adapter la sécurité aux risques, et démontrer que les choix sont cohérents avec l’exposition réelle.

Trois faiblesses ressortent. D’abord, les modalités d’authentification des conseillers Cap emploi donnant accès au système d’information n’étaient pas jugées assez robustes. Ensuite, la journalisation est décrite comme insuffisante pour détecter des comportements anormaux, autrement dit, même quand l’accès dévie, les signaux n’étaient pas assez visibles ou exploitables. Enfin, les habilitations des comptes Cap emploi étaient définies trop largement, permettant d’accéder aux données de personnes qui n’étaient pas accompagnées par ces conseillers. Ce choix a mécaniquement accru le volume d’informations accessibles aux attaquants après l’usurpation, transformant un compte compromis en point d’observation étendu.

Pour fixer la sanction, la formation restreinte retient plusieurs éléments, la méconnaissance de principes essentiels de sécurité, le nombre de personnes concernées, ainsi que le volume et la sensibilité des données traitées. Elle souligne aussi un point aggravant sur le plan de la gouvernance, la plupart des mesures adéquates avaient été identifiées en amont dans les analyses d’impact, sans être effectivement mises en œuvre. Résultat, une amende de 5 millions d’euros est prononcée, assortie d’une injonction, France Travail doit justifier des correctifs selon un calendrier précis. En cas de retard, une astreinte de 5 000 euros par jour s’applique.

Le dossier rappelle aussi le statut de l’organisme, France Travail est un établissement public national à caractère administratif, financé principalement par les cotisations sociales, ce qui modifie le plafond applicable. Pour un manquement à la sécurité, le maximum ne peut dépasser 10 millions d’euros. Les amendes, qu’elles visent le public ou le privé, sont recouvrées par le Trésor public et reversées au budget de l’État. Enfin, la CNIL précise sa place vis-à-vis des plaignants, elle traite les plaintes, contrôle, sanctionne, mais n’indemnise pas. Les personnes peuvent déposer plainte auprès de la police ou de la gendarmerie.

Dans cette affaire, l’attaque vise d’abord les réflexes humains, puis transforme l’accès en levier de collecte, une mécanique typique du cyber-renseignement.