Comment la réforme du marché de l'emploi a fragilisé la cybersécurité de France Travail


Projets

le 17 Avril 2024

Une agence France Travail Paris. Louverture des systmes de lex-Ple Emploi Cap Emploi, premier des partenaires du rseau France Travail instaur par la loi Plein Emploi, est lorigine de la fuite de donnes massive de mars dernier.

La fuite de donnes record dont a t victime France Travail en mars – touchant potentiellement 43 millions de personnes – trouve son origine dans la loi Plein Emploi de dcembre dernier. Et dans sa mise en oeuvre la va-vite, balayant des principes clefs en matire de cyberscurit.
PublicitLe 13 mars dernier, France Travail rvlait avoir t victime d’une cyberattaque, exposant les donnes personnelles (nom, prnom, date de naissance, numro de scurit sociale, identifiant France Travail, adresses mail et postale ainsi que numros de tlphone) de pas moins de 43 millions d’individus. Soit les personnes actuellement la recherche d’emploi, celles inscrites au cours des 20 dernires annes et mme celles ayant simplement cr un espace candidat sur francetravail.fr. Le fruit d’une intrusion sur les systmes d’information de l’oprateur s’talant du 6 fvrier au 5 mars 2024. Quelques jours plus tard, l’enqute mene par le parquet de Paris aboutissait l’arrestation de trois personnes d’une vingtaine d’annes, accuses de s’tre introduit sur les systmes de France Travail via le dtournement de comptes de Cap Emploi, un rseau d’organismes de placement ddis l’accompagnement des personnes handicapes. Aprs rcupration des comptes d’utilisateurs lgitimes de Cap Emploi, les pirates se sont simplement manifests auprs de l’assistance pour demander la rinitialisation des codes d’accs. Avec succs.Le simple examen des faits appelle plusieurs questions. D’abord – et mme si, selon Next, le vol de donnes se limiterait 1 1,5 million de comptes, les pirates ayant cibl des donnes plutt que de les exfiltrer en masse -, l’tendue des informations exposes interroge. Pourquoi France Travail conserve-t-il les donnes des demandeurs d’emploi peandant 20 ans ? Tout simplement, parce que c’est la loi, le code du travail indiquant : Les donnes caractre personnel et les informations enregistres dans le systme d’information sont conserves pendant une dure maximum de vingt annes compter de la cessation d’inscription sur la liste des demandeurs d’emploi. Reste maintenant comprendre pourquoi un stock de donnes personnelles aussi imposant tait accessible par une technique aussi basique qu’un dtournement de comptes, une mthode accessible la petite criminalit, voire de simples amateurs ?Pas de segmentation des donnesD’abord, les accs illgitimes ne relvent pas du dtournement de comptes d’utilisateurs de Ple Emploi, mais bien de ceux d’un partenaire. Autrement dit, des utilisateurs externes l’organisation avaient accs un ensemble de donnes personnelles concernant l’ensemble des demandeurs ou inscrits depuis 20 ans ! Une normit qui trouve son origine dans la loi Plein Emploi, du 18 dcembre 2023, instituant la naissance du rseau France Travail, impliquant un travail plus collgial de l’ex-Ple Emploi et d’un certain nombre de partenaires externes. Cette mise en rseau appelle le partage des donnes ncessaires au suivi des parcours individuels et l’alimentation d’indicateurs de suivi, de pilotage et d’valuation, [ainsi que] l’obligation d’assurer l’interoprabilit des systmes d’information avec les services numriques communs dvelopps par l’oprateur France Travail, comme le relevait le Conseil d’Etat, ds juin 2023, en amont de la prsentation de la loi l’Assemble.PublicitAu sein de l’ex-Ple Emploi, les syndicats pointent aujourd’hui les lacunes de cette mise en rseau en termes de cyberscurit. En raison de la loi Plein Emploi, des partenaires ont dsormais des habilitations d’accs aux donnes de Ple Emploi, alors que leur compartimentation n’a pas pu tre effectue en amont de ces ouvertures des partenaires, dit ainsi Catherine Laumont, la secrtaire nationale de la CFDT PSTE (Protection sociale travail emploi). Sous la pression des rsultats, la DSI de Ple Emploi s’est fait imposer la mise en place d’habilitations d’accs au systme d’information, d’abord pour Cap Emploi. Une ouverture qui doit tre tendue demain aux Missions locales et des oprateurs privs de placement. L’exfiltration de donnes rvle le 13 mars rsulte donc d’abord d’un problme de gouvernance de donnes. Des alertes ignores selon la CGTDans un mail faisant suite une runion du CSE le 28 mars, la section CGT de la DSI de France Travail met elle aussi en exergue les lacunes de la mise en oeuvre oprationnelle de la rforme : cette attaque rsulte du choix assum de la direction de la DSI de ne pas mettre en place les prconisations scuritaires ncessaires l’ouverture de notre SI aux partenaires de France Travail, tance le syndicat. Et ce dernier d’indiquer que le risque li cette mise en rseau avait pourtant t identifie ds 2022 et que la mise en place de l’authentification multifacteur avait alors t prconise. Sauf que, comme le note la CGT de la DSI de France Travail, cette mesure n’a pas t mise en place lors de l’ouverture du systme d’information de l’ex-Ple Emploi Cap Emploi. Il aura fallu une attaque d’ampleur jamais vue pour la mettre en place pour les salaris de Cap Emploi en seulement 1 ou 2 semaines ! , crit le syndicat. Un dploiement en urgence en forme d’aveu.Au passage, le modus operandi de l’attaque et le communiqu officialisant celle-ci semblent montrer que les utilisateurs de Cap Emploi bnficiaient des mmes droits que ceux de Ple Emploi. Les salaris de Cap Emploi ont des autorisations d’accs non restreintes, crit d’ailleurs la CGT dans son mail interne datant du 2 avril. Et de souligner galement que les prestataires travaillant pour la DSI, sur site ou distance, disposent des droits l’identique des internes, que ce soit dans l’environnement de qualification ou de production du SI . Le syndicat rclame donc de la direction de France Travail le dploiement d’une authentification multifacteur pour tous les partenaires et salaris, ainsi que l’application stricte du principe de moindre privilge . Une bonne pratique en matire de cyberscurit qui consiste n’accorder aux utilisateurs que les droits d’accs strictement ncessaires l’accomplissement de leurs tches (une remarque qui vaut d’ailleurs aussi pour les utilisateurs internes de France Travail).Un processus lgislatif qui ignore le risque cyberLors du processus lgislatif, ce risque intrinsquement li la connexion d’utilisateurs externes aux systmes d’information coeur de l’ex-Ple Emploi n’a t que faiblement soulign. L’tude d’impact, dont c’est pourtant l’un des rles, met en lumire les limites que crent l’absence d’interconnexion des systmes d’information et le manque de partage de donnes pour l’efficacit des politiques publiques de retour l’emploi. Mais sans se pencher sur les risques que cette mise en commun soulve. Et ce, alors que l’ouverture en question est cense concerner des services de l’Etat, des collectivits territoriales, de l’oprateur France Travail et des deux oprateurs Missions locales et Cap emploi spcialiss respectivement dans l’accompagnement des jeunes et des personnes en situation de handicap et s’tendre aux donnes personnelles des demandeurs ncessaires au suivi des parcours . Lors des dbats parlementaires, l’ex-ministre du Travail Olivier Dussopt s’acharnera, lui aussi, dfendre le principe de systmes d’information les plus ouverts possible, ignorant au passage les risques associs.La question sera toutefois souleve, de faon dtourne, par la saisine du Conseil constitutionnel par 60 dputs, en date du 16 novembre dernier. Les dispositions […] introduites par l’article 4 [prvoyant le dploiement du rseau de partenaires dont l’ouverture des SI, NDLR] mettent en place un partage de donnes automatique entre acteurs publics et acteurs privs (dlgataires d’une mission de service public), sans restriction, ni prcision sur la protection des donnes, ce qui entrane une mconnaissance du droit au respect de la vie prive, valeur constitutionnelle. La loi Plein Emploi a d’ailleurs t en partie censure le 14 dcembre 2023 par le Conseil constitutionnel, dont certaines dispositions de cet article 4 en raison d’une atteinte disproportionne au droit au respect de la vie prive . Mais en validant, pour l’essentiel, le principe de l’ouverture des systmes d’information et du partage de donnes (voir le texte de loi dfinitif). Avec les consquences que l’on sait moins d’un trimestre plus tard.Nous avons sollicit France Travail et le ministre du Travail sur les points soulevs dans cet article. Aucun d’eux n’a souhait rpondre nos questions.

Notifications fantmes ?

Comme le prvoit le RGPD (Rglement gnral sur la protection des donnes), chaque personne victime d’une violation de donnes doit tre informe individuellement de cet vnement. Ce qui, pour France Travail, se traduit donc par 43 millions de courriers adresser aux personnes inscrites comme demandeurs d’emploi au cours des 20 dernires annes. Soit la quasi-totalit de la population active, laquelle s’ajoutent bon nombre de retraits. L’obligation pesant sur l’oprateur public est d’ailleurs confirme par un communiqu de la Cnil du 13 mars dernier, qui stipule : France Travail informera individuellement, dans les jours venir, l’ensemble des personnes susceptibles d’avoir t touches par cette fuite de donnes. Sur la page d’accueil de France Travail, une fentre avertit tous les visiteurs des risques lis la cyberattaque mise au jour en mars dernier.A date et d’aprs les sondages effectus par la rdaction, seule une partie des personnes potentiellement concernes par la fuite de donnes a reu de courrier l’avertissant du possible dtournement de ses donnes personnelles, un mail mettant en exergue les risques d’hameonnage et de tentatives d’usurpation d’identit .

Article rdig par

Reynald Flchaux, Rdacteur en chef CIO Suivez l’auteur sur Twitter

Partager cet article