La nouvelle fuite de données touchant France Travail ne proviendrait pas d’une intrusion directe, mais d’ordinateurs personnels compromis par des logiciels infostealers. Un mode opératoire qui confirme la montée des menaces ciblant les utilisateurs plutôt que les systèmes centraux.
Des postes personnels comme point d’entrée
Le groupe de cybercriminels Stormous affirme avoir dérobé les données de plus de 31 000 demandeurs d’emploi. Mais selon les premières analyses, France Travail n’a pas été directement piraté : les assaillants auraient exploité des identifiants volés en passant par des logiciels espions installés sur les ordinateurs personnels d’usagers. Ce mode opératoire, déjà observé lors d’incidents similaires dans d’autres institutions, consiste à collecter les identifiants d’utilisateurs légitimes pour accéder ensuite aux services en ligne.
Des outils discrets mais massifs
Les infostealers agissent en silence : ils aspirent les cookies, mots de passe et historiques de navigation avant de transmettre ces données aux attaquants. S’ils sont techniquement simples, leur efficacité tient à leur diffusion massive via des campagnes d’hameçonnage ou de logiciels piratés. L’ANSSI rappelle que ces programmes jouent désormais un rôle central dans les chaînes d’infection menant au rançongiciel, transformant un simple vol d’identifiants en compromission complète de réseau. Une fois collectées, les données sont revendues sur le dark web ou diffusées sur des canaux Telegram, alimentant un écosystème cybercriminel florissant.
Vers un modèle de sécurité étendu
France Travail indique poursuivre ses investigations et promet d’avertir individuellement les personnes concernées. Si la revendication existe, les preuves techniques indépendantes faisant le lien direct avec France Travail n’ont pas encore été publiées publiquement, ce qui impose une certaine prudence dans l’attribution de l’attaque.
Cette affaire met surtout en lumière un défi plus large : protéger uniquement les serveurs ne suffit plus. La sécurité doit désormais englober les utilisateurs, leurs terminaux et leurs pratiques numériques, car ce sont eux qui deviennent les nouvelles portes d’entrée. À l’heure où les infostealers se multiplient, la vigilance individuelle et la formation restent les premiers remparts contre ce type d’attaque.
