France Travail victime d’un piratage : 340 000 demandeurs d’emploi exposés
Ces dernières années, le nombre d’attaques informatiques visant des institutions publiques a connu une hausse drastique. Les hackers exploitent des failles souvent liées à des infrastructures vieillissantes ou à une sous-estimation des risques. Les informations sensibles des agents et des usagers attirent particulièrement leur attention. Face à cette montée en puissance, la sécurité des données devient un enjeu prioritaire.
Partout en Europe, des ministères, des organismes sociaux et des services de santé ont été la cible de ransomware ou de vols de données. Chaque incident révèle des vulnérabilités techniques ou humaines, qui nécessitent des réponses rapides et coordonnées. Les conséquences peuvent inclure la paralysie de services essentiels, des pertes financières importantes et une atteinte à la réputation. Cela souligne l’urgence de renforcer les systèmes de défense.
En France, l’Agence nationale de sécurité des systèmes d’information, l’Anssi, joue un rôle central dans cette lutte. Sous l’autorité du Premier ministre, elle coordonne la réponse aux incidents et publie des recommandations pour anticiper les menaces. Ses missions incluent la veille technologique, l’alerte et l’accompagnement des acteurs publics. Grâce à ce dispositif, les attaques détectées sont rapidement signalées afin de limiter leur portée.
Une vigilance constante, mais des fragilités persistantes dans l’écosystème public
Au cœur de cette dynamique, le CERT-FR agit comme un centre de veille et de réponse aux intrusions informatiques. Il scrute en continu le réseau national, analyse les alertes et oriente les investigations. Le 12 juillet dernier, c’est précisément cet organisme qui a pointé une activité suspecte touchant un service vital pour les demandeurs d’emploi. Cet événement illustre la réactivité nécessaire en cas de menace avérée.
Malgré ces dispositifs, de nombreuses administrations doivent composer avec des budgets limités et des effectifs restreints dédiés à la cybersécurité. Le recours à des prestataires externes ou à des logiciels tiers agrandit parfois la surface d’attaque si les contrôles ne sont pas rigoureux. Les petites structures, comme certains organismes de formation, peuvent se retrouver exposées en raison d’une configuration insuffisamment sécurisée.
Pour les usagers, ces incidents peuvent générer une défiance accrue à l’égard des services en ligne. Les demandeurs d’emploi, qui dépendent de plateformes telles que France Travail, risquent de craindre pour la confidentialité de leurs informations personnelles. Ces inquiétudes pèsent sur la qualité de l’accompagnement et la circulation des données essentielles à l’insertion professionnelle.
France Travail : une structure clé dans l’accompagnement des demandeurs d’emploi
Inauguré début 2024, le service France Travail résulte de la fusion de Pôle emploi et de l’Unédic, dans le but de simplifier et unifier l’aide aux personnes en recherche d’emploi. Cette réorganisation ambitionne de proposer un guichet unique pour l’accompagnement, la formation et le versement des allocations. Pour de nombreux usagers, cela représente une avancée dans la lisibilité des démarches administratives.
Avec plusieurs millions de bénéficiaires chaque année, France Travail gère un volume important de données personnelles. Noms, adresses, parcours professionnel et projet de formation transitent sur ses plateformes numériques. Ces informations sont indispensables pour orienter au mieux chaque profil, mais elles sont aussi convoitées par des acteurs malveillants en quête de renseignements exploitables à des fins frauduleuses.
Dans son ambition de modernisation, France Travail a investi dans des interfaces en ligne pour faciliter la vie des usagers. Les demandeurs d’emploi peuvent suivre leurs indemnisations, consulter des offres, simuler leur future allocation et solliciter une formation. L’ensemble des échanges se fait dématérialisé, ce qui implique un haut niveau d’exigence en matière de sécurité et de confidentialité.
Kairos, entre modernisation numérique et exposition aux risques cyber
Parmi ces outils, le service Kairos occupe une place centrale. Dédié à la gestion des demandes de formation, il permet aux candidats de soumettre leur dossier et aux organismes de formation de traiter les demandes. Cette digitalisation a pour objectif de réduire les délais de traitement et d’améliorer la traçabilité des décisions. Toutefois, elle ajoute une couche de complexité à la protection des systèmes.
Face à cette énergie de modernisation, les équipes de France Travail ont dû se structurer pour répondre aux enjeux techniques et réglementaires. Elles collaborent avec plusieurs prestataires spécialisés en cybersécurité et suivent les préconisations de l’Anssi. Des audits réguliers sont réalisés pour s’assurer de la robustesse des serveurs, des outils de connexion et des protocoles de chiffrement employés.
Malgré ces efforts, la multiplication des fonctionnalités et l’ouverture des API à des tiers accroît la surface d’attaque. Chaque nouvel usage, comme le partage de données avec des conseils régionaux ou des cabinets de recrutement en ligne, représente un vecteur potentiel d’intrusion. L’équilibre entre accessibilité et sécurité demeure extrêmement délicat à maintenir.
À lire aussi
Kairos, un maillon essentiel de la formation professionnelle malencontreusement vulnérable
Le système Kairos a été conçu pour centraliser toutes les demandes de financement de formation des demandeurs d’emploi. Il offre une interface conviviale où chaque candidat peut déposer son dossier et suivre l’évolution de sa demande. Les organismes de formation, quant à eux, y accèdent pour valider les inscriptions et justifier la conformité pédagogique.
Cette plateforme traite quotidiennement des milliers de dossiers, ce qui en fait une cible de choix pour les pirates cherchant à extraire des volumes massifs de données. Les informations stockées sont particulièrement sensibles : identité des candidats, coordonnées, certificats de formation et références bancaires pour les versements. Leur exploitation peut avoir des conséquences lourdes tant pour les usagers que pour l’institution.
Dans le cas présent, c’est précisément l’accès à Kairos qui a été compromis, entraînant l’indisponibilité du service. Les utilisateurs ont pu constater une erreur d’authentification généralisée, interrompant temporairement le dépôt et le traitement des dossiers. La suspension rapide du service visait à circonscrire l’incident et à empêcher toute nouvelle extraction de données.
Une faille exploitée malgré les protections : le danger des comptes partenaires compromis
Habituellement, l’admission d’utilisateurs sur Kairos s’appuie sur des protocoles d’authentification renforcée, avec vérification par mot de passe à usage unique. Malgré ces mesures, la compromission d’un compte partenaire a ouvert une brèche importante. L’accès frauduleux a permis de contourner ces garde-fous et d’extraire les informations sans éveiller immédiatement les suspicions.
Les victimes potentielles ne sont pas seulement les demandeurs d’emploi, mais également les organismes de formation qui utilisent la plateforme. Un tiers malveillant disposant de ces informations pourrait lancer des campagnes de phishing très ciblées, usurper l’identité d’un établissement ou réclamer indûment des financements au nom de structures légitimes.
Cet épisode rappelle l’importance de disposer de procédures d’escalade efficaces pour les comptes à privilèges. La surveillance des logs, la limitation des accès depuis certaines adresses IP et la mise en place de contrôles plus fréquents peuvent réduire considérablement la fenêtre d’exposition lors d’une compromission.
L’alerte donnée par le CERT-FR et le rôle de l’Anssi
Chargé de surveiller l’ensemble des incidents touchant l’État et les secteurs critiques, le CERT-FR est intervenu le 12 juillet dernier. Son système de détection automatique a repéré une série de connexions inhabituelles provenant d’un compte tiers hébergé en Isère. Cette alerte a été transmise sans délai aux responsables de la sécurité de France Travail.
L’Anssi, dont dépend le CERT-FR, coordonne la réponse aux incidents et assure le partage d’informations entre équipes techniques et autorités judiciaires. Grâce à l’expertise de ses analystes, il est possible d’identifier rapidement la nature de l’attaque, le logiciel malveillant utilisé et les vulnérabilités exploitées.
Dans ce cas précis, l’analyse a montré l’utilisation d’un infostealer, un programme conçu pour aspirer les mots de passe et les jetons d’accès stockés sur les ordinateurs compromis. Ces outils sont couramment diffusés par des liens de phishing ou des téléchargements malveillants, ciblant préférentiellement les comptes disposant de droits étendus.
Une réponse rapide, mais un besoin urgent de culture partagée de la cybersécurité
La réaction coordonnée entre le CERT-FR et l’équipe de sécurité interne a permis de couper rapidement l’accès illicite. Et d’empêcher l’installation de portes dérobées additionnelles. Un plan de confinement a été déclenché, incluant la rotation des clés de chiffrement. Et la révocation des sessions en cours sur Kairos.
À lire aussi
La communication entre France Travail et l’Anssi s’est déroulée dans un cadre réglementaire très strict. Chaque étape de la réponse à l’incident a été tracée. Et, dans la continuité, des rapports détaillés vont être remis à la direction générale pour évaluation. L’objectif est de tirer les enseignements de cette attaque et d’adapter les mesures de sécurité futures.
Au-delà de la réaction technique, cet événement met en lumière la nécessité d’une culture de la cybersécurité partagée par tous les acteurs, des développeurs aux utilisateurs finaux. Former le personnel à reconnaître les tentatives de phishing et à appliquer les bonnes pratiques constitue une ligne de défense tout aussi fondamentale.
Une intrusion via un infostealer et le compte compromis d’un organisme de formation
Les enquêteurs ont rapidement identifié la source de l’activité anormale : un compte appartenant à un organisme de formation basé en Isère. Ce partenaire dispose de droits d’accès légitimes à Kairos, mais son compte a été infecté par un logiciel d’exfiltration de données.
Le infostealer en question agit comme un mouchard silencieux, enregistrant les frappes au clavier, capturant les identifiants et récupérant les cookies des sessions ouvertes. Il transmet ensuite ces données à un serveur contrôlé par les attaquants, leur ouvrant une porte dérobée vers les systèmes internes.
Selon le retour d’expérience, l’infection s’est probablement produite lors d’un échange de messages électroniques contenant un lien malveillant. Ce type de campagne de phishing reste une méthode privilégiée pour diffuser ce genre de logiciels, notamment auprès de cibles moins vigilantes aux signes d’alerte.
La compromission d’un compte tiers illustre la difficulté à sécuriser des écosystème étendus. Chaque prestataire externe doit intégrer les mêmes standards de sécurité que l’institution, sous peine de représenter un point faible. La gestion des droits et la traçabilité des accès deviennent alors des enjeux cruciaux.
Une fois le compte compromis, les pirates ont pu naviguer librement sur Kairos, collecter les données, puis effacer leurs traces. La durée exacte de cette intrusion demeure à préciser, mais elle serait suffisamment longue pour extraire plusieurs centaines de milliers de profils.
Les responsables de France Travail estiment que ce type d’attaque pourrait se reproduire si aucune mesure supplémentaire n’est prise. La segmentation des réseaux et la mise en place de bastions d’administration pourraient limiter la portée des compromissions futures.
Les mesures prises par France Travail face à l’incident
Immédiaement après la détection de l’intrusion, France Travail a suspendu l’accès à Kairos afin de bloquer toute activité malveillante. Les utilisateurs ont été informés de cette interruption et invités à patienter le temps d’un audit approfondi.
La plateforme est restée indisponible pendant plusieurs heures, permettant aux équipes techniques de procéder à une analyse forensique des systèmes. Ce travail a consisté à examiner les journaux de connexion, vérifier l’intégrité des fichiers et identifier les éventuelles portes dérobées.
En parallèle, un signalement officiel a été déposé auprès de la CNIL, conformément à l’obligation légale en cas de violation de données personnelles. Cette notification précise la nature des informations consultées et les mesures mises en œuvre pour limiter l’impact.
Un dépôt de plainte a également été effectué auprès des services de police compétents. Cette démarche vise à déclencher une procédure judiciaire et à permettre l’ouverture d’une enquête pour identifier et poursuivre les auteurs de l’attaque.
Pour informer les personnes concernées, France Travail prévoit l’envoi de courriels individuels afin de préciser les données consultées et les précautions à prendre. Les usagers seront encouragés à surveiller leurs comptes et à signaler toute activité suspecte.
Ainsi, les équipes de France Travail ont mis en place un plan de redémarrage progressif du service, incluant notamment la réinitialisation des mots de passe pour l’ensemble des comptes administrateurs et partenaires. En parallèle, elles ont programmé des contrôles renforcés afin de vérifier en amont la fiabilité des accès. Avant toute remise en ligne complète de Kairos.
Un précédent incident en 2024, signe d’une menace récurrente
Ce n’est pas la première fois que France Travail est confronté à une cyberattaque. En 2024, un piratage similaire avait déjà visé la plateforme, sans que le nombre exact de victimes soit rendu public.
