Pôle Emploi : un vol de fichier chez Majorel sans lien avec la campagne MOVEit

[Mise à jour, le 5 septembre 2023 @ 14h] Fin août, Pôle Emploi indiquait que l’un de ses prestataires avait été « victime d’un acte de cybermalveillance », avec pour conséquence la potentielle compromission de données relatives aux « demandeurs d’emploi inscrits en février 2022 et d’anciens usagers de Pôle emploi ». Le prestataire en question est Majorel.

Cet incident de cybersécurité n’a toutefois rien à voir avec la campagne MOVEit conduite par Cl0p et dont Majorel a été victime outre-Rhin. Dans un e-mail adressé à la rédaction en réponse à une sollicitation, la direction de la communication de l’intéressé est formelle : « cet incident est distinct de la campagne de cyberattaques mondiale qui a récemment ciblé le logiciel MOVEit ». Et il y a une bonne raison à cela : ce logiciel « n’est pas utilisé par Majorel dans le cadre de ses activités françaises » et ne peut, dès lors « pas être lié à cet incident de données ».

Le fichier auquel faisait référence Pôle Emploi dans son communiqué de presse du 23 août est bien celui qui a été mis en vente sur un forum fréquenté notamment par des cybercriminels, en août, et évoqué notamment par Clément Domingo, confirme Majorel.

Plus loin, sa direction de la communication indique que les investigations déjà engagées font apparaître que « le fichier concerné contient exclusivement des données issues de la prestation de dématérialisation et de gestion de documents opérée par Majorel pour Pôle emploi. Aucun autre client, système et service de Majorel, en France comme à l’étranger, n’est concerné ».

Majorel se dit en outre « pleinement investi dans la poursuite de [ses] investigations et [met] tout en œuvre pour les mener à bien dans les meilleurs délais ».

[Article original, le 24 août 2023 @ 17h46] Dans un communiqué de presse publié ce 23 août, Pôle emploi indique que l’un de ses prestataires a été « victime d’un acte de cybermalveillance ». C’est « en fin de semaine dernière » – autour du 17 août, donc – que l’a appris Pôle emploi qui assure que « des investigations sont en cours chez le prestataire pour connaître l’origine de cet évènement ».

Ce prestataire, nos confrères du Parisien s’en sont fait indiquer le nom : Majorel. Il est chargé de « la numérisation et du traitement de tous les documents transmis par les demandeurs d’emploi ».

Majorel compte parmi les victimes de la vaste campagne de cyberattaques lancée par Cl0p fin mai, contre les instances du système de transfert de fichier MOVEit affectées par la vulnérabilité référencée CVE-2023-34362.

Le groupe Cl0p n’a pas directement revendiqué Majorel parmi ses victimes : il a publié une revendication visant Arvato, groupe appartenant à Bertelsmann dont fait partie Majorel. Teleperformance s’est porté candidat, fin avril, au rachat de Majorel. 

Le 10 juillet, Majorel a indiqué à l’Handelsblatt avoir été victime de la campagne MOVEit de Cl0p. Parmi ses clients concernés : Deutsche Bank, Postbank, mais aussi Comdirect et ING. La caisse d’assurance santé Barmer a également été touchée, ainsi que les Saarland Versicherungen.

Outre sa revendication initiale assortie de quelques captures d’écran, le groupe Cl0p n’a pas, à ce jour, divulgué de données volées à Majorel lors de l’attaque. Les cybercriminels sont pourtant même allés jusqu’à diffuser via BitTorrent les données de plusieurs de leurs victimes, y compris Cegedim, EY ou encore PxC, parmi d’autres. 

Dans le cas de Pôle emploi, l’une des surprises tient à l’ancienneté des données concernées : « les demandeurs d’emploi inscrits en février 2022 et d’anciens usagers de Pôle emploi sont potentiellement concernés par ce vol de données personnelles », indique le communiqué. Selon nos confrères du Parisien, « 10 millions de personnes » pourraient être concernées.

Si la compromission est bien liée à la campagne MOVEit, se pose alors la question du pourquoi du stockage de données, dans la durée, sur un environnement pensé pour le seul transfert de fichiers. Nous avons interrogé Pôle emploi sur ce point et nous mettrons à jour cet article lorsque des réponses nous parviendront.