Les fuites de données personnelles constituent une véritable plaie, aussi bien pour les utilisateurs concernés que pour les entreprises et organismes qui ont la responsabilité de leur traitement et de leur conservation. Cette fois, c'est au tour de Pôle Emploi d'être sous le feu des projecteurs avec la mise en vente sur un forum de hack d'une base de données de ce qui s'apparente à des informations privées concernant des personnes inscrites à cet organisme pour un total de 1,2 million d'enregistrements.
« A ce stade, nous sommes en train d’enquêter sur le sujet et nous ne pouvons faire aucun autre commentaire », nous a indiqué un porte-parole de Pôle Emploi. La publication de cette base leakée remonte selon le journaliste Olivier Laurelli (Bluetouff) au 10 juin dernier. « La personne qui a posté l'offre sur le forum a déjà fait parler d'elle en février au Vietnam. Il s'agissait des données d'environ 18 900 clients qui faisaient leurs achats dans la chaîne de supermarchés d'électronique Nguyen Kim pour 800€ », a précisé de son côté le photojournaliste Maxime Reynié.
Un scénario de scraping à ne pas écarter
Parmi les données leakées, on trouve aussi bien des noms, prénoms, numéros de téléphone que des adresses postales et également des emplois recherchés. Le tout mis en vente pour 1 000 $ sur RaidForums dans une annonce qui n'est plus accessible depuis. Le risque lié à ce hack est bien identifié : rendre possible des attaques par phishing couplées à du social engineering en permettant par exemple à un pirate de se faire passer pour un employeur potentiel, voire un collaborateur de Pôle Emploi.
Selon nos informations, l'organisme public enquête sur un possible piratage de l'un de ses prestataires, laissant à penser que Pôle Emploi n'aurait pas directement été la cible d'un vol de données, mais d'une attaque de type supply chain. Un scénario rendu possible en raison d'un bucket de serveur de stockage cloud ou d'un moteur de recherche et d'analyse Elasticsearch mal paramétrés. Autre scénario à ne pas écarter : le scraping d'informations, consistant à compiler des informations issues de différentes sources publiques, ce qui a notamment permis à des hackers de réaliser une compilation géante de données relatives à 500 millions d'utilisateurs Linkedin.