Cyberattaque à France Travail : comment 340 000 demandeurs d’emploi ont été touchés

Une nouvelle brèche dans le système de France Travail

Le 12 juillet dernier, un agent de formation basé dans l’Isère a été la cible d’un piratage via un infostealer, ces logiciels malveillants qui s’emparent des données sans laisser de traces. Les cybercriminels ont exploité cette faille pour accéder à l’application Kairos, une plateforme utilisée pour le suivi des formations des demandeurs d’emploi. Or, cette application était en cours de décommissionnement, ce qui signifie qu’elle ne bénéficiait pas des dernières mesures de sécurité. Résultat : en l’espace de deux heures, 340 000 fiches personnelles ont été extraites.

Une série de dysfonctionnements en cascade

Si l’on y regarde de plus près, cet incident révèle une succession de ratés. Le CERT-FR, l’agence nationale de cybersécurité, a alerté France Travail dès le 12 juillet. Pourtant, un problème de communication interne a retardé la mise à jour du compte compromis, laissant la porte ouverte aux attaquants. Par ailleurs, un système censé détecter et bloquer les extractions massives de données était en place, mais il souffrait de mauvais paramétrages. L’alerte n’a été donnée que trois jours plus tard, quand il était déjà trop tard.

Un système encore vulnérable depuis la fuite massive de 2024

France Travail n’en est pas à sa première fuite massive. Le 13 mars 2024, France Travail avait annoncé avoir été victime d’une cyberattaque d’une ampleur considérable, touchant potentiellement 43 millions de personnes. Cette attaque avait impliqué l’exfiltration de diverses données sensibles, dont les noms, prénoms, adresses postales, numéros de téléphone, adresses e-mail, numéros de sécurité sociale, identifiants Pôle Emploi, et dans certains cas, les RIB.

Depuis la fuite massive de ces 43 millions de données l’année dernière, l’agence travaillait à renforcer sa cybersécurité. Mais sécuriser un système d’une telle ampleur, ce n’est comme rénover une vieille bâtisse : il y a toujours un coin qu’on n’a pas fini de consolider. Surtout lorsque des applications comme Kairos, en phase de fermeture, restent accessibles sans les protections les plus récentes. C’est un peu comme laisser une fenêtre ouverte pendant qu’on change les serrures ailleurs.

Malgré ces failles, France Travail a réagi rapidement. L’application Kairos a été immédiatement fermée, et les autres services ont été isolés pour limiter les dégâts. Par ailleurs, un vaste plan de communication a été mis en place pour sensibiliser l’ensemble des parties prenantes, internes comme externes, aux bonnes pratiques numériques. Mais on ne peut s’empêcher de se demander si ces mesures n’auraient pas pu être anticipées plus tôt.

Une transparence bienvenue sur les réseaux sociaux

Ce qui distingue cet incident, c’est la transparence de France Travail. Rarement une institution se livre autant, même si c’est sous le couvert d’un expert comme SaxX sur X. Mais que retenir de cette nouvelle affaire ? D’abord, que la cybersécurité est un chantier permanent, où les menaces évoluent plus vite que les défenses. Ensuite, que même les meilleures intentions peuvent être sabotées par des détails. Et enfin, que, malgré tout, des efforts sont faits pour progresser. Mais pour les 340 000 personnes concernées, c’est une histoire qui revient un peu trop souvent. Et on ne peut s’empêcher de penser : la prochaine fois, sera-t-elle pire ?