Le 13 mars dernier, France Travail révélait avoir été victime d'une cyberattaque, exposant les données personnelles (nom, prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale ainsi que numéros de téléphone) de pas moins de 43 millions d'individus. Soit les personnes actuellement à la recherche d'emploi, celles inscrites au cours des 20 dernières années et même celles ayant simplement créé un espace candidat sur francetravail.fr. Le fruit d'une intrusion sur les systèmes d'information de l'opérateur s'étalant du 6 février au 5 mars 2024. Quelques jours plus tard, l'enquête menée par le parquet de Paris aboutissait à l'arrestation de trois personnes d'une vingtaine d'années, accusées de s'être introduit sur les systèmes de France Travail via le détournement de comptes de Cap Emploi, un réseau d'organismes de placement dédiés à l'accompagnement des personnes handicapées. Après récupération des comptes d'utilisateurs légitimes de Cap Emploi, les pirates se sont simplement manifestés auprès de l'assistance pour demander la réinitialisation des codes d'accès. Avec succès.
Le simple examen des faits appelle plusieurs questions. D'abord - et même si, selon Next, le vol de données se limiterait à 1 à 1,5 million de comptes, les pirates ayant ciblé des données plutôt que de les exfiltrer en masse -, l'étendue des informations exposées interroge. Pourquoi France Travail conserve-t-il les données des demandeurs d'emploi peandant 20 ans ? Tout simplement, parce que c'est la loi, le code du travail indiquant : « Les données à caractère personnel et les informations enregistrées dans le système d'information sont conservées pendant une durée maximum de vingt années à compter de la cessation d'inscription sur la liste des demandeurs d'emploi. » Reste maintenant à comprendre pourquoi un stock de données personnelles aussi imposant était accessible par une technique aussi basique qu'un détournement de comptes, une méthode accessible à la petite criminalité, voire à de simples amateurs ?
Pas de segmentation des données
D'abord, les accès illégitimes ne relèvent pas du détournement de comptes d'utilisateurs de Pôle Emploi, mais bien de ceux d'un partenaire. Autrement dit, des utilisateurs externes à l'organisation avaient accès à un ensemble de données personnelles concernant l'ensemble des demandeurs ou inscrits depuis 20 ans ! Une énormité qui trouve son origine dans la loi Plein Emploi, du 18 décembre 2023, instituant la naissance du réseau France Travail, impliquant un travail plus collégial de l'ex-Pôle Emploi et d'un certain nombre de partenaires externes. Cette mise en réseau appelle « le partage des données nécessaires au suivi des parcours individuels et à l'alimentation d'indicateurs de suivi, de pilotage et d'évaluation, [ainsi que] l'obligation d'assurer l'interopérabilité des systèmes d'information avec les services numériques communs développés par l'opérateur France Travail », comme le relevait le Conseil d'Etat, dès juin 2023, en amont de la présentation de la loi à l'Assemblée.
Au sein de l'ex-Pôle Emploi, les syndicats pointent aujourd'hui les lacunes de cette mise en réseau en termes de cybersécurité. « En raison de la loi Plein Emploi, des partenaires ont désormais des habilitations d'accès aux données de Pôle Emploi, alors que leur compartimentation n'a pas pu être effectuée en amont de ces ouvertures à des partenaires, dit ainsi Catherine Laumont, la secrétaire nationale de la CFDT PSTE (Protection sociale travail emploi). Sous la pression des résultats, la DSI de Pôle Emploi s'est fait imposer la mise en place d'habilitations d'accès au système d'information, d'abord pour Cap Emploi. Une ouverture qui doit être étendue demain aux Missions locales et à des opérateurs privés de placement. L'exfiltration de données révélée le 13 mars résulte donc d'abord d'un problème de gouvernance de données. »
Des alertes ignorées selon la CGT
Dans un mail faisant suite à une réunion du CSE le 28 mars, la section CGT de la DSI de France Travail met elle aussi en exergue les lacunes de la mise en oeuvre opérationnelle de la réforme : « cette attaque résulte du choix assumé de la direction de la DSI de ne pas mettre en place les préconisations sécuritaires nécessaires à l'ouverture de notre SI aux partenaires de France Travail », tance le syndicat. Et ce dernier d'indiquer que le risque lié à cette mise en réseau avait pourtant été identifiée dès 2022 et que la mise en place de l'authentification multifacteur avait alors été préconisée. Sauf que, comme le note la CGT de la DSI de France Travail, cette mesure n'a pas été mise en place lors de l'ouverture du système d'information de l'ex-Pôle Emploi à Cap Emploi. « Il aura fallu une attaque d'ampleur jamais vue pour la mettre en place pour les salariés de Cap Emploi en seulement 1 ou 2 semaines ! », écrit le syndicat. Un déploiement en urgence en forme d'aveu.
Au passage, le modus operandi de l'attaque et le communiqué officialisant celle-ci semblent montrer que les utilisateurs de Cap Emploi bénéficiaient des mêmes droits que ceux de Pôle Emploi. « Les salariés de Cap Emploi ont des autorisations d'accès non restreintes », écrit d'ailleurs la CGT dans son mail interne datant du 2 avril. Et de souligner également que les prestataires travaillant pour la DSI, sur site ou à distance, « disposent des droits à l'identique des internes, que ce soit dans l'environnement de qualification ou de production du SI ». Le syndicat réclame donc de la direction de France Travail le déploiement d'une authentification multifacteur pour « tous les partenaires et salariés », ainsi que l'application stricte « du principe de moindre privilège ». Une bonne pratique en matière de cybersécurité qui consiste à n'accorder aux utilisateurs que les droits d'accès strictement nécessaires à l'accomplissement de leurs tâches (une remarque qui vaut d'ailleurs aussi pour les utilisateurs internes de France Travail).
Un processus législatif qui ignore le risque cyber
Lors du processus législatif, ce risque intrinsèquement lié à la connexion d'utilisateurs externes aux systèmes d'information coeur de l'ex-Pôle Emploi n'a été que faiblement souligné. L'étude d'impact, dont c'est pourtant l'un des rôles, met en lumière les limites que créent « l'absence d'interconnexion des systèmes d'information et le manque de partage de données » pour l'efficacité des politiques publiques de retour à l'emploi. Mais sans se pencher sur les risques que cette mise en commun soulève. Et ce, alors que l'ouverture en question est censée concerner « des services de l'Etat, des collectivités territoriales, de l'opérateur France Travail et des deux opérateurs Missions locales et Cap emploi spécialisés respectivement dans l'accompagnement des jeunes et des personnes en situation de handicap » et s'étendre aux données personnelles des demandeurs « nécessaires au suivi des parcours ». Lors des débats parlementaires, l'ex-ministre du Travail Olivier Dussopt s'acharnera, lui aussi, à défendre le principe de « systèmes d'information les plus ouverts possible », ignorant au passage les risques associés.
La question sera toutefois soulevée, de façon détournée, par la saisine du Conseil constitutionnel par 60 députés, en date du 16 novembre dernier. « Les dispositions [...] introduites par l'article 4 [prévoyant le déploiement du réseau de partenaires dont l'ouverture des SI, NDLR] mettent en place un partage de données automatique entre acteurs publics et acteurs privés (délégataires d'une mission de service public), sans restriction, ni précision sur la protection des données, ce qui entraîne une méconnaissance du droit au respect de la vie privée, à valeur constitutionnelle. » La loi Plein Emploi a d'ailleurs été en partie censurée le 14 décembre 2023 par le Conseil constitutionnel, dont certaines dispositions de cet article 4 en raison d'une « atteinte disproportionnée au droit au respect de la vie privée ». Mais en validant, pour l'essentiel, le principe de l'ouverture des systèmes d'information et du partage de données (voir le texte de loi définitif). Avec les conséquences que l'on sait moins d'un trimestre plus tard.
Nous avons sollicité France Travail et le ministère du Travail sur les points soulevés dans cet article. Aucun d'eux n'a souhaité répondre à nos questions.
Piratage de France Travail : aux origines du mal
La fuite de données record dont a été victime France Travail en mars - touchant potentiellement 43 millions de personnes - trouve son origine dans la loi Plein Emploi de décembre dernier. Et dans sa mise en oeuvre à la va-vite, balayant des principes clefs en matière de cybersécurité.