Fuite de données chez France Travail : Stormous revendique 30 Go et 31 000 comptes compromis

Revendication du groupe Stormous

Le groupe cybercriminel Stormous a déclaré, sur son portail du dark web, avoir piraté France Travail et dérobé 30 Go de données personnelles, affectant selon lui 31 000 demandeurs d’emploi.

Types de données potentiellement exposées

Les pirates affirment avoir exfiltré des informations variées. Parmi les éléments cités figurent :

• identifiants et mots de passe ;
• noms et adresses postales ;
• adresses e-mail et numéros de téléphone ;
• dates de naissance ;
• relevés d’identité bancaire ;
• contrats de travail, avis d’imposition et attestations de Sécurité sociale ;
• certificats de formation.

Méthode d’attaque décrite par les auteurs

Stormous détaille avoir d’abord récupéré des identifiants via un logiciel malveillant, puis automatisé des tentatives de connexion massives ( » credential stuffing « ) afin d’accéder aux comptes France Travail. Le groupe évoque également l’exploitation de plusieurs vulnérabilités dans le fonctionnement du site.

Confirmation partielle par France Travail

Contacté, France Travail a confirmé à 01net que, selon ses  » premières investigations « , des données de certains demandeurs d’emploi ont bien été extraites. L’organisme public indique que l’incident a été rendu possible par la présence de logiciels malveillants de type  » infostealer  » sur les ordinateurs personnels de demandeurs d’emploi :

 » Cela a été rendu possible du fait de la présence de logiciels malveillants (virus de type infostealer) sur les ordinateurs personnels de demandeurs d’emploi. Ce type de logiciel permet de récupérer les données de connexion du demandeur d’emploi à son insu. « 

France Travail précise que les attaquants n’ont pas visé l’infrastructure interne ni les postes des employés, mais les appareils des utilisateurs. L’organisme ne peut toutefois pas, à ce stade, confirmer le nombre exact de personnes concernées ni la nature complète des données accédées. Les équipes internes poursuivent leurs investigations.

Contexte : un phénomène répandu et un historique d’incidents

Les  » infostealers  » sont aujourd’hui courants et responsables d’une part importante des fuites. Selon Kaspersky, près de dix millions d’appareils ont été infectés par ce type de logiciel en un an au niveau mondial. Ces programmes se propagent notamment via des fichiers infectés ou des campagnes de phishing.

Il s’agit de la troisième fuite liée à France Travail en moins de deux ans : entre février et mars 2024, une attaque exploitant des comptes de conseillers compromis avait entraîné la fuite de données concernant 43 millions de personnes en France ; cet été, une nouvelle fuite a touché 340 000 demandeurs d’emploi.

Situation actuelle

Les enquêtes internes se poursuivent. France Travail n’a pas communiqué de mesures correctives précises dans le message relayé, et les autorités compétentes pourront être amenées à intervenir selon l’évolution des investigations.