France Travail 2024 : 43 millions de Français touchés, analyse de la fuite
Chronologie des faits
Février 2024 : France Travail (ex-Pôle Emploi) découvre un accès non autorisé à sa base de données. L'organisme informe la CNIL le 8 mars 2024.
13 mars 2024 : France Travail publie un communiqué reconnaissant une cyberattaque ayant potentiellement exposé les données personnelles de 43 millions de personnes. Le périmètre inclut les demandeurs d'emploi actuels, les anciens inscrits sur les 20 dernières années, et les personnes disposant d'un espace candidat.
Mars 2024 : la CNIL ouvre une enquête. Le parquet de Paris saisit la section cybercriminalité.
Données exposées
Les données compromises incluent les noms, prénoms, dates de naissance, numéros de sécurité sociale, identifiants France Travail, adresses email et postales, et numéros de téléphone. Les mots de passe et les données bancaires ne sont pas concernés selon France Travail.
Le numéro de sécurité sociale est le point critique. C'est un identifiant unique et permanent. Contrairement à un mot de passe, on ne peut pas le changer. Il est utilisé comme clé d'authentification dans de nombreux contextes (santé, retraite, administration).
Vecteur d'attaque
Selon les informations publiques, l'attaque a exploité des comptes de conseillers Cap Emploi compromis. Les attaquants ont utilisé ces accès légitimes pour interroger la base de données et extraire les informations. Ce n'est pas une vulnérabilité technique spectaculaire, mais un défaut de contrôle d'accès et de surveillance.
Points critiques identifiés :
Impact
43 millions de personnes touchées, soit la quasi-totalité de la population française active et anciennement active. Les données exposées permettent le phishing ciblé (spear phishing), l'usurpation d'identité et la fraude administrative.
La CNIL a reçu des milliers de signalements suite à l'incident. Des campagnes de phishing exploitant les données volées ont été détectées dans les semaines suivantes.
Leçons pour les organisations
Le contrôle d'accès n'est pas optionnel. Des comptes avec un accès global à une base de 43 millions d'enregistrements, c'est un risque systémique. Le principe du moindre privilège aurait limité l'extraction.
La détection d'extraction massive est indispensable. Si un compte télécharge des millions d'enregistrements, le système doit alerter immédiatement.
Les données historiques doivent être archivées. Conserver 20 ans de données accessibles en ligne multiplie la surface d'impact.
L'authentification des accès critiques doit être renforcée. L'authentification multi-facteurs pour les comptes ayant accès à des données sensibles n'est pas un luxe.
Ce que CleanIssue vérifie
Lors d'un revue externe, nous identifions exactement ce type de faille : des accès trop larges, des API sans limitation d'extraction, des données historiques exposées. C'est ce qui fait la différence entre un incident limité et une catastrophe à 43 millions de victimes.
Articles liés
Trois analyses proches pour continuer la lecture sur la meme surface de risque.
Viamedis et Almerys 2024 : 33 millions de données de santé compromises
Analyse de la double fuite Viamedis/Almerys qui a exposé les données de santé de 33 millions de Français en janvier 2024.
Equifax 2017 : 147 millions d'Américains exposés par une CVE Apache Struts
Comment une CVE connue et non corrigée dans Apache Struts a permis la plus grande fuite de données financières de l'histoire américaine.
Uber 2022 : l'attaque par ingénierie sociale qui a tout compromis
Un attaquant de 18 ans a compromis l'intégralité des systèmes d'Uber via du social engineering et du MFA fatigue. Chronologie et leçons.
Sources
Analyse éditoriale fondée sur la documentation officielle des éditeurs, projets et autorités concernées.
Services associés
Si ce sujet reflète un risque concret sur votre stack, voici les audits CleanIssue les plus pertinents.