France Travail : encore un compte légitime compromis

France Travail et le réseau des Missions Locales viennent de révéler un nouvel incident de cybersécurité : les données personnelles de 1,6 million de jeunes sont « susceptibles d’être divulguées », indiquent les deux organisations dans un communiqué.

Selon ce dernier, tout est parti du compte d’un agent, détourné, ou « piraté », mais pas n’importe lequel : un responsable gestion de compte (RGC) d’une mission locale.

Comme l’explique le communiqué, « un RGC est la personne au sein des établissements responsable des demandes d’habilitations de leurs collègues au SI partagé mis en place par France Travail dans le cadre de la loi pour le plein emploi ». Autrement dit, son compte dispose de privilèges élevés, plus que les autres.

Ainsi, peut-on lire, « en utilisant les droits du compte compromis, l’attaquant a pu créer deux nouveaux comptes via le service ProConnect, donnant ensuite l’accès aux outils métier permettant la consultation des dossiers des jeunes accompagnés ».

Lorsque l’incident a été découvert, les trois comptes en question ont été suspendus, coupant les accès utilisés par les assaillants. Il n’en reste pas moins que « au total, les données de 1,6 million de jeunes sont susceptibles d’être divulguées : nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone ». Maigre consolation, « aucun mot de passe ni aucune coordonnée bancaire n’ont été extraits ».

La sécurité était-elle suffisamment prise en compte ? Le communiqué ne suggère pas de négligence : « avec l’ouverture de son système d’information aux partenaires dans le cadre de la loi pour le plein emploi, France Travail avait déjà mis en place la double authentification systématique de tous les collaborateurs de ses partenaires ». L’authentification à facteurs multiples (MFA) était donc là. Las, si elle est devenue indispensable, elle n’en est pas pour autant infaillible. Des kits de contournement existent et toutes les implémentations ne se valent pas.

En outre, France Travail indique avoir « rendu obligatoire une formation pour tous les RGC. L'accès au SI de France Travail est en outre conditionné à la réussite d'une évaluation à l'issue de cette formation ».

Toutes les formations ne se valent pas non plus et la prise en compte de l’évolution du paysage des menaces est essentiel. Dans ce contexte, France Travail fait état de son intention d’aller « plus loin en mettant en place une sensibilisation obligatoire à renouveler tous les 6 mois pour tous les collaborateurs de nos partenaires qui conditionnera leur accès au système d’information ».

C’est la seconde fois en pas même deux mois que les systèmes de France Travail sont concernés par une intrusion. Le 27 octobre, le groupe Stormous revendiquait ainsi un vol de données sur les systèmes de France Travail. Selon cette revendication, les données de près de 31 500 demandeurs d’emploi seraient concernées pour un total de 30 Go.

France Travail avait alors indiqué que l’extraction des données avait été rendue « possible du fait de la présence de logiciels malveillants (virus de type infostealer) sur les ordinateurs personnels de demandeurs d’emploi ».

Le groupe Stormous expliquait lui-même avoir « exploité des identifiants volés sur les terminaux des utilisateurs infectés par maliciel ». Il disait avoir « contourné » le système d’authentification à facteurs multiples de France Travail, suggérant l’accès à des jetons de session valides dérobés par cleptogiciel.