France Travail a détecté une cyberattaque ayant permis la consultation non autorisée des données personnelles de 1,6 million de jeunes suivis par les Missions Locales. L’incident est lié au piratage d’un compte agent disposant de droits étendus.
Un compte à privilèges compromis
L’attaque provient de la compromission du compte d’un responsable gestion de compte (RGC) d’une Mission Locale, chargé des habilitations au sein du SI partagé instauré par la loi pour le plein emploi. En usurpant ses droits, l’attaquant a créé deux faux comptes via ProConnect et a pu consulter les dossiers de jeunes accompagnés. Les trois comptes ont été suspendus dès la découverte des faits.
Des données exposées
L’incident pourrait avoir conduit à la divulgation de données telles que nom, prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone. Aucun mot de passe ni donnée bancaire ne figure parmi les éléments compromis. Les personnes concernées seront informées et invitées à redoubler de vigilance face aux tentatives de phishing ou d’usurpation d’identité.
Un renforcement de la sécurité annoncé
Dans un contexte de pression accrue sur les SI publics, France Travail rappelle avoir déjà déployé la double authentification systématique et rendu obligatoire une formation pour les RGC. L’organisme va désormais instaurer une sensibilisation semestrielle obligatoire pour tous les collaborateurs des partenaires, conditionnant leur accès au SI.
L’Union nationale des Missions Locales (UNML) indique poursuivre l’accompagnement des structures dans l’application des procédures renforcées. Parallèlement, France Travail et la DINUM travaillent à sécuriser davantage l’identification via ProConnect et l’enrôlement des comptes tiers.
Jamais deux sans trois ?
Cet incident survient quelques semaines après une autre affaire de cybersécurité touchant France Travail. L’organisation avait dû reconnaître le vol massif d’identifiants via des malwares infostealers, installés sur des postes personnels et utilisés pour collecter des identifiants compromis ensuite revendus sur des places de marché clandestines. Contrairement à l’attaque actuelle, qui repose sur la compromission d’un compte agent disposant de droits étendus, l’événement précédent n’impliquait pas de faille du SI mais une exploitation directe des comportements utilisateurs.
