Que sait-on de la prétendue cyberattaque contre France Travail ?

Ce lundi 27 octobre, le groupe Stormous revendiquait un vol de données sur les systèmes de France Travail. Selon cette revendication, les données de près de 31 500 demandeurs d’emploi seraient concernées pour un total de 30 Go.

Stormous a publié plusieurs échantillons confortant ses allégations. Dans une déclaration adressée à la rédaction, France Travail indique que, « selon nos premières investigations des données ont en effet été extraites ». Et de préciser ne pas être, « à ce stade », « en mesure de confirmer le volume des demandeurs d’emploi concernés ni de confirmer la nature des données qui ont été accédées. Les équipes internes poursuivent leurs investigations ».

Mais est-il pour autant approprié de dire que France Travail a été victime d’une cyberattaque ? Pas vraiment. Car il semble plutôt que des tiers, et en particulier des demandeurs d’emploi, aient été victimes de compromission par logiciel malveillant.

France Travail indique ainsi que l’extraction de données a été rendue « possible du fait de la présence de logiciels malveillants (virus de type infostealer) sur les ordinateurs personnels de demandeurs d’emploi. Ce type de logiciel permet de récupérer les données de connexion du demandeur d’emploi à son insu ».

Le groupe Stormous ne dit pas autre chose, expliquant lui-même avoir « exploité des identifiants volés sur les terminaux des utilisateurs infectés par maliciel ». Il dit avoir « contourné » le système d’authentification à facteurs multiples de France Travail, suggérant l’accès à des jetons de session valides.

L’exploitation des butins de cleptogiciels n’est pas une méthode nouvelle pour Stormous : l’enseigne s’en est fait une spécialité. En juin dernier, le groupe avait ainsi épinglé l’Éducation Nationale, laissant à craindre une cyberattaque, alors qu’il n’avait, en toute vraisemblance, que constitué ce que l’on appelle une combolist d’identifiants valides volés.