Cyberattaque France Travail : la CGT dénonce « des niveaux de sécurité insuffisants »

C’est une petite bombe que lâche la CGT-DSI de France Travail, dans un e-mail du 2 avril au sujet de la cyberattaque dont a été victime l’organisme entre février et mars, et révélée le 13 mars.

Dans ce courriel, une déclaration faisant suite à une réunion de CSE du 28 mars, le syndicat estime que « cette attaque résulte du choix assumé de la direction de la DSI de ne pas mettre en place les préconisations sécuritaires nécessaires à l’ouverture de notre SI aux partenaires de France Travail ». Il assure avoir « alerté maintes fois sur des situations où la sécurité du SI n’était pas respectée ou insuffisante ».

Dans le détail, la CGT-DSI de France Travail relève que « lors du projet de connexion du partenaire Cap Emploi en 2022 », le risque qui s’est matérialisé avec la récente cyberattaque avait bien été identifié et qu’il avait été alors préconisé de « renforcer l’authentification […] avec un deuxième facteur d’authentification (2FA), conformément aux exigences de l’Anssi ». Las, lit-on, « il n’a jamais été mis en place ». En fait, selon le syndicat, « il aura fallu une attaque d’ampleur jamais vue pour la mettre en place pour les salariés de Cap Emploi en seulement 1 ou 2 semaines ! ».

En outre, selon la CGT-DSI, « les salariés de Cap Emploi ont des autorisations d’accès non restreintes ». Et les prestataires travaillant pour la DSI, sur site ou à distance, « disposent des droits à l’identique des internes, que ce soit dans l’environnement de qualification ou de production du SI ».

Dès lors, le syndicat demande le déploiement de l’authentification à facteurs multiples « pour tous les partenaires et salariés qui se connectent sur notre SI », et l’application « stricte du principe de moindre privilège ». Ce dernier dispose qu’une personne authentifiée n’accède qu’aux ressources informationnelles nécessaires à l’exercice de ses fonctions et rien de plus, durant le temps requis, et pas plus. D’ailleurs, la CGT-DSI de France Travail demande la « révision de la politique d’ouverture des accès pour les salariés externes qui peuvent se connecter 24 h/24, 7 j/7 et 365 j/365 sur le SI ».

Nous avons sollicité France Travail afin de valider le fait que les affirmations contenues dans le courriel de la CGT-DSI sont conformes à la réalité. À l’heure où sont publiées ces lignes, notre message au service de presse de l’organisme est sans réponse.

Mais les faits rapportés par France Travail le 13 mars dernier confortent déjà certaines de ces affirmations. Ainsi, pouvait-on lire dans le communiqué de presse, « potentiellement, les données personnelles de 43 millions de personnes » sont susceptibles d’avoir été « exfiltrées », sur la base de deux comptes d’agents Cap Emploi détournés : ils jouissaient manifestement de droits d’accès très étendus.

Dans un courriel adressé à la rédaction mi-mars, la direction générale de France Travail indiquait que ses équipes avaient « constaté des requêtes suspectes sur notre SI à des heures inhabituelles (soir et week-end) rattachées à des comptes de conseillers Cap Emploi » : la capacité de connexion aux ressources du SI de France Travail n’était vraisemblablement pas restreinte, notamment, aux heures ouvrées. 

Enfin, selon Le Parisien, le piratage des comptes des conseillers Cap Emploi s’est fait en recourant à une technique d’ingénierie sociale, en demandant au support une réinitialisation après perte d’un « code d’accès ». Ces éléments sont bien moins concluants : la réinitialisation de mot de passe compte parmi les premières méthodes de contournement de la 2FA régulièrement citées, bien qu’elle ne soit pas systématiquement exploitable. Des méthodes de prévention d’un tel contournement existent, mais tout dépend de leur mise en œuvre.