Les données personnelles de plus de dix millions de demandeurs d'emploi, compilées par un prestataire de l'agence publique Pôle Emploi et objet d'une fuite révélée cette semaine, sont en vente illégale sur la toile.
900 dollars (835 euros) : tel est le prix pour les données personnelles d’une dizaine de millions de Français, soustraites auprès d’un prestataire de Pôle emploi en charge de la numérisation des documents.
«Des données de Pôle Emploi sont en vente sur le “darknet”. Un pirate très connu, spécialiste de vente de bases de données qu’il pirate ou achète, a mis en vente le 8 août une base de données de Pôle Emploi datée de 2022, de 10,2 millions d’usagers, qu’il vend 900 dollars», a déclaré à l’AFP, Damien Bancal du site Zataz.com, un des meilleurs experts en signalement de vols de données.
L’expert en cybersécurité Clément Domingo, alias @_SaxX_ sur X (anciennement Twitter) signale également la vente de ces données pour 900 dollars sur un forum de hackers. Le fichier comporte bien 10,2 millions de noms, selon lui. «Il y a eu une première diffusion sur ce forum de cybercriminels. Le 8 août on trouvait une première base de données, elle a été mise à jour avec beaucoup plus d’infos le 21», a-t-il complété.
Pôle Emploi, l’établissement public chargé de l’emploi en France, avait appelé le 23 août les demandeurs d’emploi à la vigilance, après «un acte de cyber-malveillance» envers l’un de ses prestataires, la société Majorel. Une enquête a été ouverte par le parquet de Paris pour introduction et maintien frauduleux dans un système de traitement automatisé de données.
Les données compromises comprennent les numéros de sécurité sociale
Selon Pôle Emploi, cette fuite de données concernait «les personnes inscrites en février 2022 et les personnes en cessation d’inscription depuis moins de 12 mois soit potentiellement 10 millions de personnes».
Dans son communiqué, l’organisme public évoquait la possibilité que les noms et prénoms, statut actuel ou ancien de demandeur d’emploi, numéro de sécurité sociale (ou NIR) soient mis en ligne, excluant que les adresses e-mail, numéros de téléphone, mots de passe et coordonnées bancaires soient concernés.
«Le fichier datant de février 2022 que nous avons pu identifier et qui nous a permis de remonter au prestataire victime de cet acte de cybermalveillance contient le nom, le prénom, et le NIR. Aucune autre information sensible (mail, téléphone ou coordonnées bancaires) ne figure dans ce fichier. Notre prestataire ne dispose d’ailleurs pas de ces informations», a souligné le 25 août la direction générale de Pôle Emploi sollicitée par l’AFP.
Pôle Emploi conteste en outre que d’autres informations aient pu être divulguées comme l’affirmait l’un des experts.
«Les données auxquelles fait référence cet interlocuteur proviennent d’un fichier volé datant de 2021 qui avait fait l’objet d’une déclaration à la Cnil de la part de Pôle emploi et d’une communication auprès de nos usagers. Ce fichier contenait des données concernant notamment les nom, prénom et coordonnées de contact mais aucune information bancaire», a souligné l’organisme public.
Apple répare une faille informatique exploitée par le logiciel d’espionnage israélien Pegasus