Cyberattaque de France Travail. "La menace principale c'est l'usurpation d'identité" selon le spécialiste en cyber-sécurité Baptiste Robert

L'organisme chargé de l'emploi en France a annoncé mercredi 13 mars avoir été victime d'une cyberattaque. Les données de 43 millions de personnes ont été volées. Les demandeurs d'emplois actuels et les personnes inscrites ces 20 dernières années sont concernés. Baptiste Robert, un spécialiste toulousain en cybersécurité répond à nos questions.

France Travail, l'agence chargée de l'emploi en France, a annoncé mercredi 13 mars 2024 qu'elle avait été l'objet d'une attaque informatique de grande ampleur entre février et mars. Les données personnelles de 43 millions de personnes ont fuité. Un nouveau revers pour le successeur de Pôle Emploi, déjà victime en août dernier d'un piratage qui avait exposé les données de 10 millions de chômeurs et ex-demandeurs d'emploi après la compromission d'un de ses prestataires informatiques.

Les informations "braquées" concernent tous les demandeurs d'emplois des 20 dernières années, les numéros de sécurité sociale de deux tiers des Français sont ainsi potentiellement dans la nature... Baptiste Robert, président de Predictalab, et expert en cybersécurité, répond à nos interrogations sur les conséquences de l'une des plus grosses violations de données jamais observée en France.

France 3 : Comment les hackers s'y sont pris pour réaliser leur méfait ?

Baptiste Robert : Sur la manière, sur le procédé, techniquement, précisément, on ne sait pas. Deux communiqués officiels ont été rendus publics, l'un de France Travail et l'autre de Cybermalveillance. Il y a eu une compromission de comptes d'agents appartenant à France Travail. On n'en sait pas beaucoup plus là-dessus. Dans les informations non officielles, il semblerait qu'a priori, cette compromission de comptes, qui a pu se faire via du phishing, par exemple, de manière assez classique, a permis aux attaquants de rentrer dans le système et ensuite de pouvoir se balader, d'aller regarder et trouver une manière de récupérer ces informations-là.

Aujourd'hui, on n'a pas de détails techniques. Il y a des questions en suspens qui sont importantes, auxquelles il faudra répondre. La première étant : comment les attaquants ont pu rester un mois dans le système, de février à mars ? Comment se fait-il qu'en un mois, on ne les ait pas détectés ? Il y a eu des manquements en termes de sécurité... comment des gens peuvent se balader dans le système d'information de France Travail ?

France 3 : Cela pose d'après vous d'autres questions tout aussi cruciales ?

Baptiste Robert : Oui, la deuxième grosse question est : des agents se sont fait compromettre par du phishing, ça malheureusement ce sont des choses qui arrivent, mais comment cette compromission a-t-elle pu mener à l'exfiltration potentielle de 43 millions de données ? C'est la question du contrôle d'accès... Pourquoi en compromettant des comptes d'agents qui n'ont pas un haut niveau de responsabilités, on arrive à accéder à autant de données ? 

Et la troisième question, elle est celle de la rétention des données. 20 ans de données c'est énorme surtout à l'heure du RGPD. (Règlement général sur la protection des données). Comment se fait-il que France Travail conserve autant de données ? Comment se fait-il que ces données soient stockées au même endroit ?

Il y a les données chaudes et les données froides. On comprend tout à fait qu'il y ait des données chaudes auxquelles on a besoin d'accéder régulièrement : vos droits, vos informations du jour, etc. Mais toutes les informations d'il y a 20 ans qui doivent être conservées probablement pour calculer vos retraites etc, c'est plus une notion d'archives. Comment se fait-il qu'il n'y ait pas une segmentation, une séparation des bases de données ? Est-ce que le RGPD a bien été respecté ? On peut aussi légitimement se poser la question.

France 3 : Quelle est la menace pour les personnes dont les données ont été volées ?

Baptiste Robert : La menace principale c'est l'usurpation d'identité. On va avoir des hackers qui sont en capacité de customiser ou de façonner une attaque de manière très spécifique donc potentiellement dans les jours, semaines, mois, années à venir. C'est-à-dire que vous allez recevoir des emails,
des sms, des appels même vous disant "Bonjour monsieur intel, c'est France Travail, vous avez été au chômage de telle date à telle date, or il se trouve qu'après recalcul, vous avez eu un trop perçu donc maintenant il faudrait nous rembourser". 

Comme ces informations sont très simples, on va vous faire valider que vous êtes bien monsieur machin, vous résidez bien à tel endroit, vous avez tel numéro de sécu. Du coup, l'interlocuteur est légitime puisqu'il a les bonnes informations et c'est comme ça que vous pouvez vous faire avoir.

Ensuite, il y a l'usurpation d'identité : se faire passer pour la personne, prendre un crédit à la consommation par exemple en son nom. Si j'ai un numéro de sécurité sociale, je vais être en capacité d'ouvrir des choses pour vous, que ce soit des crédits ou autre.

France 3 : L'objectif est de soutirer de l'argent ?

Baptiste Robert : Oui, c'est souvent le cas. Mais la réalité, c'est qu'on ne sait pas. C'est pour ça qu'il faut être attentif dans les jours à venir, voir si cette base de données se retrouve sur internet, si quelqu'un essaie de la vendre. Mais ça peut aussi bien être des gens qui ont pris cette base de données, qui vont la recouper avec d'autres bases de données qui ont déjà fuité puisque malheureusement on est sur une belle récurrence notamment au niveau de France Travail...

Il y avait déjà 10 millions de données de personnes qui avaient fuité, il y a quelques temps de ça,
d'un prestataire de France Travail. Donc on peut facilement faire des recoupements et se créer une base entière de tous les Français et ça, ça peut servir pour faire du marketing, pour essayer de faire vendre des choses, pour des élections, pour plein de choses...

France 3 : Qui est concerné et comment se protéger si c'est le cas ?

Baptiste Robert : Sont concernées par cette fuite de données, toutes les personnes qui ont été au chômage entre 2004 et maintenant. Le réflexe à adopter, c'est d'être vigilant sur les choses que vous recevez... ça peut être des sms, ça peut être des textos, ça peut être des appels. Il ne faut pas être dans l'instantanéité. Au contraire, il faut réfléchir et de se poser des questions.

Concrètement, je reçois un texto, un e-mail et il y a un lien. On me dit qu’il faut que je suive mon colis DHL ou on me dit que j'ai reçu un trop perçu ou on me dit que j'ai une offre d'emploi intéressante avec un lien dans le message. Il ne faut pas cliquer mais plutôt se poser des questions : je regarde l'adresse de l'e-mail, je vérifie si le logo est bon, est-ce qu'il y a des fautes d'orthographe ? Est-ce que syntaxe est correcte ? Est-ce qu'en terme de contexte, ça a du sens ? Est-ce que je suis allé sur le site de France Travail récemment ? Est-ce que je suis dans une posture de chercher de l'emploi ?

Donc l'idée, ce n'est pas de dire : je vais cliquer histoire de voir, mais c'est de réfléchir et de se dire non
là, c'est louche et si c'est louche je ne clique pas.

France 3 : Est-ce que France Travail n'est pas tenue d'assurer une sorte de sécurité après coup ? Ça pose la question de la responsabilité...

Baptiste Robert : J'espère bien que des gens compétents vont bosser sur la question. Ce sont des métiers à part entière dans un cas comme celui-ci où des comptes d'agents sont compromis. Il y a des métiers dédiés. L'enjeu premier est de repousser l'attaquant donc de faire en sorte qu'il n'ait plus accès à votre système d'information.

Ensuite, il faut comprendre ce qui s'est passé, donc isoler les éléments, récupérer tous les logs, les informations... Essayer de refaire l'histoire. C'est vraiment une enquête pour comprendre comment ça s'est passé, par quel chemin ils sont passés et ce qu'ils ont fait. Ensuite on commence à parler de solutions pour que ça ne se reproduise pas.

La question de la responsabilité est centrale. Est-ce que l'Etat est responsable ? Est-ce que France Travail est responsable ? Est-ce que les prestataires utilisés, payés sur des énormes appels d'offres et qui n'ont pas été en capacité de sécuriser le système, sont responsables ?

France 3 : Est-ce qu'il existe des organismes capables d'assurer une sécurité absolue à l'heure actuelle, avec des barrières infranchissables ?

Baptiste Robert : Non, la sécurité absolue, la cybersécurité absolue n'existe pas. Les failles de sécurité sont inhérentes à ce domaine-là. De la même façon que la sécurité globale absolue n'existe pas malheureusement, c'est-à-dire que vous pouvez mettre un policier partout, il y aura toujours un trou de souris.

On a une industrie de la cybersécurité qui existe avec des grands noms, avec des solutions performantes qui sont capables de sécuriser. Si on regarde un peu à l'extérieur, on voit que
les Etats-Unis, un pays avec 4-5 fois notre population avec des sites institutionnels, sont capables de sécuriser ces données-là. On a d'autres pays, des pays de l'est. On va avoir l'Estonie, l'Ukraine qui sont capables d'avoir des projets innovants dans le domaine du numérique, qui sont à peu près sécurisés. 

Donc il y a un sujet oui. Et des choses faisables. Pour les gens qui travaillent dans la cyber, même pour nous, c'est fatigant de voir cette incompétence, ce caractère systémique. Et ce n'est pas fini... Les JO arrivant, on va être une cible. On s'est mis une cible sur la tête... Très bien ! On a paradé en disant qu'on allait être prêt mais on n'est pas prêt.

Sur le plan cyber, on n'est pas prêt pour les JO, on le sait tous. C'est un vrai sujet à mon sens mais sur lequel il n'y a absolument aucune volonté politique aujourd'hui. On l'a vu, typiquement : est-ce que vous avez trouvé la réaction de la secrétaire d'Etat chargée du numérique sur cette fuite ? On la cherche tous mais il n'y en a pas. Il n'y a même pas eu de réaction officielle politique sur le sujet.

France 3 : Que faudrait-il faire concrètement ?

Baptiste Robert : La cybersécurité, ce n'est pas que de la compétence technique, c'est aussi du process, c'est aussi de l'organisation, de l'analyse de risque, c'est plein de choses différentes. Ça n'est pas que "mon système est sécurisé", c'est aussi comment je réagis en cas de crise. C'est de l'entraînement, c'est plein de choses tout autour et sur ces aspects-là, on n'est pas bon.

Le premier chantier, c'est déjà d'avoir une représentation au niveau politique. Il faut partir du haut, avoir une politique numérique globale claire qui comprendra un volet cybersécurité. Forcément car la sécurité est un enjeu majeur que ce soit sociétal mais aussi que ce soit sur le plan militaire. On le voit aujourd'hui, on est dans une situation géopolitique plus qu'explosive, on a besoin du cyber. C'est une composante importante. Et le cyber, c'est aussi de l'argent.

Pourquoi les Américains sont très bons ? Pourquoi les Israéliens sont très bons ? Parce qu'ils mettent de l'argent. Il faut faire de la commande publique, favoriser l'innovation dans ce secteur-là en particulier et créer un écosystème. 

Cet écosystème va permettre de faire monter des sociétés françaises et de créer un terreau fertile à l'innovation à la R&D (recherche et développement). Alors on pourra sortir demain, peut-être pas des géants, mais au moins des entreprises qui arrivent à sortir leur épingle du jeu, qui créent des solutions qui fonctionnent et qui peuvent contribuer à la sécurité de l'Etat.

Une autre question se pose pour revenir à France Travail : pourquoi aujourd'hui on utilise des prestataires pour s'occuper des systèmes de cette institution ? Pourquoi ce ne sont pas des fonctionnaires qui s'en occupent ? Pourquoi on externalise en permanence la technicité ? Parce que l'Etat a dit non, ce n'est plus à moi de m'en occuper. Mais en réalité, on est sur un système d'information qui est primordial pour l'Etat, qui perdurera pendant des décennies voire des centaines d'années. On aura toujours besoin d'un France Travail, quel que soit le nom qu'il aura, donc il faut avoir la maîtrise de ce système-là et ne pas déléguer. Ça me parait un choix politique qui est juste.