Chez le tout nouveau France Travail (ex- Pôle Emploi, ex- ANPE) il y a ceux qui font leur boulot1 et puis il y a les autres, notamment ceux du service SSI2 qui devaient avoir aqua-poney le jour où la solidité du tout nouveau site web et de son backend a été éprouvée. Si elle l’a été, ce dont vous me permettrez de douter (voir plus bas).
43 millions de Français impactés
France Travail, sans doute animée par le souci de démontrer que la gabegie le budget alloué à son rebranding ne l’a pas été en vain, réussit à battre la précédent record détenu jusqu’à présent par le duo Viamedis et Almerys qui avaient laissé fuiter les données personnelles de plus 33 millions de personnes (état civil, date de naissance, numéro de sécurité sociale, nom de l’assureur santé, garanties du contrat souscrit - Février 2024). Notons que Pôle Emploi avait déjà égaré les données de 10 millions de personnes en 2023.
L’affaire est suffisamment grave cette fois pour qu’on ait pris la peine de sortir la CNIL de sa sieste.
Les données exposées
Compte tenu des investigations techniques menées, les données personnelles d’identification (DPI) exposées sont: nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone – France Travail
Et de souligner en gras que:
Les mots de passe et les coordonnées bancaires ne sont pas concernés par cet acte de cybermalveillance. Il n’existe donc aucun risque sur l’indemnisation.
Effectivement, il ne reste plus grand chose à égarer à part les détails bancaires, toutes les DPI étant déjà dans la nature.
Un site tout pété
Chez les gens un tant soit peu sérieux, il est de coutume de tester la solidité d’un site avant de le mettre en production; il faut croire que France Travail n’y a pas pensé n’a eu ni le temps ni les ressources pour le faire. Des outils simples existent pour cela, qui offrent un aperçu de la posture cybersécurité d’une site web (TLS, ciphers, PFS, HTTPS, etc.) à compléter évidemment par des audits en profondeur des interactions que le site peut avoir avec les applications tierces, l’évaluation de la surface d’attaque, les réactions en cas de crise, etc. Mais commençons par le commencement.
Le Mozilla Observatory leur décerne un score pitoyable de 5/100 (au 14 Mars 2024).
Outre le vénérable Mozilla Observatory d’autres sites tels cryptcheck.fr de l’excellent @aeris, securityheaders.com, internet.nl, hardenize.com testssl.sh (CLI)et beaucoup d’autres permettent d’évaluer en quelques minutes la solidité d’une application exposée au Web (web-facing app comme disent nos adversaires légendaires au rugby). Si la vitrine est aussi vilaine, je n’ose imaginer la tête de l’arrière-cour. Mais France Travail manque de ressources vous dit-on. Pourtant il devrait être possible de trouver facilement des profils de développeurs Web non? Parmi 43 millions de profils…
Mais comme France Travail n’est probablement pas du genre à admettre qu’ils sont simplement mauvais, une petite phrase en fin de communiqué leur permet de se défausser sur les nombreux partenaires à qui les données sont transmises:
Dès la connaissance avérée de cette intrusion, nous avons pris des mesures complémentaires pour renforcer nos dispositifs de protection des accès à nos applicatifs par nos partenaires – C’est pas nous, promis!
Porter plainte
Une fois n’est pas coutume, les Gendarmes de l’Internet français nous informent qu’il est possible de porter plainte:
Comme le prévoit notamment le RGPD3, France Travail informera individuellement l’ensemble des personnes concernées par cette violation de données personnelles. Les personnes concernées par cette violation de leurs données personnelles ont la possibilité de déposer plainte en utilisant le formulaire de lettre-plainte en ligne – cybermalveillance.gouv.fr
Ils risquent d’avoir un peu de travail si 43 millions de Français décident de porter plainte. Imaginons qu’il leur faille embaucher; c’est France Travail qui serait content.