La série noire continue pour France Travail. L'organisme public a annoncé avoir été victime d'un nouveau piratage, qui a exposé les données personnelles de 340 000 demandeurs d'emploi. L'attaque a été menée via le compte d'un partenaire de formation.
Une attaque via le compte d'un "partenaire"
Il ne s'agit pas d'un piratage direct des serveurs de France Travail, mais d'une attaque par la chaîne d'approvisionnement, un maillon faible bien connu en cybersécurité.
Selon l'organisme, des pirates ont d'abord compromis le compte d'un organisme de formation basé dans l'Isère, probablement via un logiciel malveillant de type "infostealer".
Avec les identifiants volés de ce partenaire, les hackers ont ensuite pu se connecter en toute légitimité au portail "Kairos" de France Travail, une application destinée au suivi des formations. De là, ils ont pu exfiltrer les données de 340 000 personnes.
Quelles données ont été volées (et quels sont les risques) ?
Les données compromises sont suffisantes pour monter des arnaques très ciblées. La fuite inclut les noms, prénoms, adresses postales et e-mail, numéros de téléphone, ainsi que les identifiants France Travail et le statut (inscrit ou radié).
Heureusement, France Travail assure que les mots de passe et les coordonnées bancaires ne sont pas concernés. Le risque principal pour les victimes est donc de recevoir des tentatives de phishing (par e-mail, SMS ou téléphone) très convaincantes, utilisant ces informations personnelles pour paraître légitimes.
La réponse (tardive) de France Travail
L'organisme a réagi en fermant temporairement le portail concerné et en prévenant les 340 000 personnes affectées, ainsi que la CNIL. Une plainte a été déposée.
Surtout, France Travail a annoncé "accélérer le déploiement d'un système d'authentification à double facteur" pour ce portail. Le problème, c'est que ce déploiement n'était initialement prévu qu'en... octobre prochain.
On en dit quoi ?
Ce nouveau piratage, même s'il est moins massif que celui de 2024 qui avait touché 43 millions de personnes, est presque plus inquiétant. Il révèle une faille systémique dans la gestion de la sécurité des partenaires de France Travail. À quoi bon sécuriser sa porte d'entrée si on laisse les fenêtres des voisins grandes ouvertes ?
Le point le plus accablant reste cette histoire d'authentification à deux facteurs (2FA). Qu'un organisme gérant des données aussi sensibles n'ait pas encore rendu le 2FA obligatoire pour ses partenaires en 2025 est une faute professionnelle. Après le piratage géant de l'année dernière, on aurait pu penser que ce serait la priorité absolue. Visiblement, la leçon n'a pas été retenue. Et vous, vous activez l'authentification à deux facteurs sur tous vos comptes importants ?
Pour ne rien rater de l'actualité de la cybersécurité, le mieux est encore de nous suivre sur notre page Facebook !
