Fuite de données massive à Pôle Emploi, des numéros de sécu sur le dark net !

Pôle Emploi a publié un communiqué mercredi 23 août pour prévenir que des données avaient été volées à l'un de ses sous-traitant par un hacker qui les a mises en vente sur le dark net. La fuite des données est susceptible de concerner 10 millions de personnes inscrites à Pôle emploi en février 2022 ou en cessation d’inscription depuis moins de 12 mois à cette date-là.

Parmi les données volées se trouvent les « noms et prénoms, statut actuel ou ancien de demandeur d'emploi » et surtout le « numéro de sécurité sociale » !

Les adresses e-mail, numéros de téléphone, mots de passe et coordonnées bancaires ne seraient a priori pas concernés. Toutefois d’après un expert en cyber intelligence, la fuite pourrait aller beaucoup plus loin (mails, code postal et même numéro de permis de conduire…).

À l’origine de la fuite : le piratage de Majorel

Incapable de gérer l’ensemble des dossiers, dû à un manque d’effectif et à une multiplications des privés d’emplois, Pôle emploi externalise le traitement des documents de ses usagers à des prestataires privés. Une sous-traitance qui a des impacts sur le traitement des dossiers des demandeurs d’emploi, car le sous-traitant étant payé à l’acte, cela entraîne bon nombre d’erreurs que doivent ensuite corriger les conseillers de Pôle Emploi…

La société Majorel fait partie de ces sous-traitant de Pôle Emploi et c’est elle qui s’est fait pirater les données personnelles des demandeurs d’emploi !

Majorel est une entreprise née de la fusion entre Arvato (groupe Bertelsmann) et Saham, société marocaine en 2019. Elle appartient à un groupe luxembourgeois côté en bourse qui travaille entre autres avec EEDF, le ministère du logement, Orange, etc.

Elle est chargée auprès de Pôle Emploi de la numérisation et du traitement des documents envoyés par les demandeurs d’emploi.

Cette entreprise privée se présente comme le « leader international de gestion de la relation client » et des centres d’appel et comme l’un des « leaders de la modération, de la sécurité et de la véracité des contenus en ligne », ça ne l’a pourtant pas empêché de se faire pirater ! De toute évidence elle n’a pas su sécuriser correctement son système informatique.

Voilà où conduit la numérisation massive des services publics et leur privatisation. Les usagers n’ont plus la main sur leurs données personnelles qui tombent entre les mains de prestataires privés, dont il n’est pas possible de surveiller les agissements et dont les systèmes peu sécurisés sont plus susceptibles d’être piratés.

Ce n’est pas la première fois que Pôle Emploi doit faire face à une fuite de données. En juin 2021, 1,2 million de données personnelles de 120.000 personnes avaient été piratées et mise en ligne. Cela n'avait toutefois pas concerné les numéros de sécurité sociale des demandeurs d'emploi.

D'après l'expert en cybersécurité Clément Domingo, « Au mois de mai 2023, il y a eu une vaste campagne de cyberattaques suite au piratage d’un logiciel qu’utilisait ce prestataire de Pôle Emploi. Une faille mondiale a été utilisée par ces acteurs malveillants - le groupe Clop - pour toucher plus de 500 organismes dans le monde, dont Pôle Emploi »,

Aujourd’hui Pôle Emploi a saisi la CNIL, une enquête sur la cyber attaque est en cours et Pôle Emploi n’exclut pas de porter plainte contre Majorel…

Cela dit, cette fuite de données pose également question quant au développement de plus en plus poussé de l’interconnexion des fichiers d’identification.

Si le numéro de sécurité sociale a pu être piraté en accédant au fichier de Pôle Emploi, c’est parce que ce projet d’interconnexion permet aujourd’hui l’accès au numéro de sécurité sociale par de plus en plus d’organismes publics et privés !

Petite histoire du numéro de sécurité sociale

Au début des années 70 le ministère de l’intérieur a décidé de mettre en place le projet « système automatisé pour les fichiers administratifs et les répertoires individuels » (SAFARI). Le but ? Relier toutes les informations que l’Etat pouvait avoir avec le numéro de sécurité sociale.

Sujet à la controverse, le projet SAFARI déboucha sur une commission d’enquête qui donna naissance à la Commission nationale de l’informatique et des libertés (CNIL) et à la loi Informatique et Libertés du 6 janvier 1978, socle de la protection des données personnelles, encore en vigueur aujourd’hui.

Officiellement, le projet SAFARI a été abandonné à ce moment là, mais la CNIL en a validé une partie par la création du : « répertoire nationale d’identification des personnes physiques » (RNIPP), un répertoire français tenu par l'Insee, servant de « mètre étalon » pour faciliter « la vérification de l’état-civil des personnes sur le compte desquelles des informations sont enregistrées ».

Le numéro d’inscription à ce répertoire (NIR) est ce que nous appelons couramment « numéro de sécurité sociale ». Autrement dit, le numéro de sécurité sociale est donc un code numérique servant à identifier de façon unique une personne dans le répertoire national d'identification des personnes physiques (RNIPP) géré par l'INSEE, dans les conditions définies par le décret no 82-103 du 22 janvier 1982 modifié.

L'inventeur de l'actuel numéro de Sécurité sociale est le contrôleur général des armées René Carmille, dont nous avons déjà parlé dans un précédent article. Spécialiste de la mécanographie par cartes perforées, il a inventé ce numéro à l'occasion d'une mission de réorganisation des bureaux de recrutement de l'armée. Le « numéro Carmille », originellement d'usage strictement militaire a survécu, après la libération dans un usage purement civil.

L’accès au répertoire nationale d’identification des personnes physiques (RNIPP) a d’abord été accordé aux organismes de la « sphère médico-sociale », à commencer par la Sécurité sociale, puis il s’est, selon les mots de la CNIL, « diffusé » pour « contaminer (...) tout le champ des rapports entre employeurs et salariés d’une part, et celui de la santé, d’autre part ».

C’est pourquoi le NIR est aujourd'hui utilisé par tous les organismes liés à la sécurité sociale et à la santé, par le Pôle emploi, le fisc, les employeurs, etc.

Ces interconnexions, via l'utilisation du NIR, ont « généralement pour but de vérifier la réalité de la situation sociale des demandes ». Pôle Emploi l’utilise donc pour contrôler les allocataires.

La CNIL s'est opposée à la « tendance à la généralisation de l'emploi du NIR » et a préconisé l'usage d'identifiants spécifiques aux différentes administrations, afin de freiner l'interconnexion des fichiers. Cela a conduit à la création du NUMEN dans l’Éducation Nationale, puis de l'INE (« identifiant national étudiant »). Mais cela n’a pas empêché les organismes publics comme Pôle Emploi d’y avoir accès, ni même le fisc, qui disposait pourtant d'un identifiant spécifique (le SPI, « simplification des procédures d'identification »), mais qui s’est retrouvé autorisé à utiliser le NIR par l'article 107 de la loi de finances de 1999 (1).

« Mesurer l’extension de l’usage du NIR n’est pas une chose aisée. Certes, il ne figure ni sur les cartes d’identité, ni sur les passeports, pas davantage sur les permis de conduire ou les bulletins des recensements de la population… Mais la liste des traitements informatiques comportant l’usage du NIR, telle qu’elle est énoncée dans le décret 2019-34171 s’étale sur plus de 7 pages (A4) dont seules les deux premières portent sur des applications de la « sphère médico-sociale » à laquelle elle devait s’arrêter. Le reste porte sur les domaines du travail et de l’emploi, sur les champs financier, fiscal et douanier, dans le champ de la justice, de la statistique publique et du recensement, dans celui de l’éducation et dans celui du logement. »

Claude Poulain, « Le projet SAFARI (1970-1974) », Terminal [En ligne], 134-135 | 2022, mis en ligne le 12 octobre 2022, consulté le 28 août 2023. URL : http://journals.openedition.org/terminal/8787 ; DOI : https://doi.org/10.4000/terminal.8787

Pour savoir si vous êtes concernés par cette fuite de données

Pôle Emploi a annoncé que les demandeurs d’emplois concernés par cette fuite de données seraient contactés par mail par l’agence « dans les meilleurs délais ». Si vous êtes concernés vous devriez donc être tenu au courant plus ou moins rapidement.

Si vous êtes concernés soyez vigilants, vous risquer de voir votre identité usurpée, mais aussi à recevoir des tentatives d’arnaques phishing par mail ou téléphone particulièrement convaincantes. Avec le volume des données récupérées, les hackers seront en mesure de monter des arnaques plus crédibles. Si vous recevez un mail de Pôle Emploi qui vous demande de renseigner votre identifiant et votre mot de passe, n’y répondez pas.

Prenez garde aussi aux mails promotionnels ou officiels que vous pourriez recevoir dans les semaines à venir, vérifiez systématiquement les adresses mails pour vous assurer qu’elles correspondent à la nomenclature de Pôle Emploi. En cas de doute, informez votre conseiller Pôle Emploi ou appeler le 39 49 pour confirmer l’authenticité du mail.

Attention aussi aux courriers en provenance de l’Assurance maladie ! Votre numéro de sécurité sociale faisant partie des données dérobées il pourra être utilisé pour des tentatives d’intrusion sur votre espace Ameli. Des cybercriminels ayant acheté les donnés sur le dark net pourraient vous envoyer un sms pour demander d'actualiser votre carte vitale.

« L’objectif est de pousser la victime à cliquer sur un lien malveillant, qui par exemple installe sur son ordinateur un logiciel qui crypte ses fichiers, puis exiger une rançon pour les déverrouiller. Des données médicales permettent d’exercer des chantages, des données fiscales de se faire envoyer de l’argent pour un rappel d’impôt imaginaire, etc. »

Agence France-Presse, "Les données de 10 millions de demandeurs d’emploi en vente sur le web", mediapart

Gare à France Connect !

Aujourd’hui le numéro de sécurité sociale n’est plus seulement une donnée partagée entre organismes publics et privés, il permet également aux usagers qui le souhaitent de se connecter sur France Connect !

France Connect est un portail informatique créé en 2018, censé faciliter la connexion aux services publics et démarches en ligne. Il permet entre autre d’ouvrir un compte bancaire, d’accéder à son dossier médical, faire une demande de carte grise, gérer ses projets de formation…).

Voir notre article : https://halteaucontrolenumerique.fr/?p=2637

Pour l’instant Pôle Emploi alertent les usagers surtout sur le risque d’arnaque par mails. Cependant on peut se demander si les usagers utilisant France Connect ne risquent pas d’être exposés à un vol de plus grande envergure...

Le manque de sécurité de France connect est connu depuis longtemps. Au cours de l’été 2022, plusieurs cas de fraudes au Compte personnel de formation (CPF) ont été commises, via l’usurpation d’identité. Ces cas de piratages ont entraîné une suspension de l’utilisation de France Connect dans plusieurs services en septembre 2022.

Suite à cela, le gouvernement a renforcé la sécurité via Franceconnect+. Cette mis à jour de France Connect a mis en place une limitation des identités numériques permettant de se connecter au portail numérique et a renforcé les dispositifs de sécurité d’authentification.

Au départ, on pouvait s’identifier sur France Connect à partir de plusieurs entrées : comptes impots.gouv.fr, ameli, mutualité sociale agricole, Yris [qui utilise la reconnaissance faciale] et l'Identité numérique La Poste. Désormais avec France Connect +, seule cette dernière est utilisable. Le gouvernement a aussi mis en place une authentification à deux facteurs, similaire à ce que les utilisateurs connaissent pour leurs transactions bancaires.

Seulement FranceConnect+ ne fonctionne que pour les démarches les plus sensibles, (comme ouvrir un compte bancaire, accéder à son dossier médical, recevoir des lettres recommandées électroniques…). Pour le reste, c’est l’utilisation classique de FranceConnect qui est mise en place.

Difficile de dire dans ces conditions quelle est l’ampleur des risques courus par les usagers de Pôle Emploi victimes du piratage…

Si vous pensez avoir été victime d’une usurpation d’identité en ligne sur France Connect, il faut aller voir la rubrique d’aide dédiée sur le site : https://franceconnect.gouv.fr/faq#SECURITE

On préférerait cela dit ne pas avoir avoir affaire à une FAQ sur un site...

En conclusion, le système de Pôle Emploi est tout sauf sécurisé. Alors que l'État vante le tout numérique et déploie de plus en plus l'interconnexion entre les fichiers de données personnelles, il ne prend même pas la peine de sécuriser ces dites données.

Non seulement, Pôle Emploi utilise un système microsoft propice aux risques de piratage et à l'immixtion étrangère (2), mais en plus il sous-traite la gestion des dossiers à des boîtes privées au système de sécurité défaillant.

Il faut savoir qu'un jeu de données d’identité complet permet de voler une identité, par exemple pour ouvrir un compte bancaire en ligne ou renvoyer des amendes routières vers un inconnu. Aux Etats-Unis, les cas d’usurpation ont explosé.

Pour la société de cybersécurité Anozr Way « Au vu du nombre des données qui circulent, en Europe, dans cinq ans, cela risque d’être horrible (...)  il y a une chance sur deux pour que vos données soient en vente sur le dark web ».

D’ici novembre 2024, la directive européenne NIS2 obligera des milliers d’entreprises et administrations à renforcer leur cybersécurité.

Mais au delà de l'aspect sécurité, c'est cette interconnexion des données qui est criticable en soit, car elle nous empêche de plus en plus de garder la main-mise sur nos données personnelles, en plus de nous exposer à un risque de surveillance et de fichage plus global.

À ce sujet voir notre article : https://halteaucontrolenumerique.fr/?p=2637

Pour reprendre la main sur nos données personnelles et ce système informatique de classement et de surveillance des agents et des usagers, nous proposons un atelier Droits sociaux lors de la convention qui se déroulera le 15 et 16 septembre 2023.

Si vous êtes intéressé par cet atelier et souhaiter participer à la réflexion collective le temps d'une journée (dans la mesure des places disponibles) , vous pouvez envoyer un mail à : halteaucontrolenumerique@protonmail.com

Vous serez recontacté·es.

Notes

1. « L’article 22 de la loi n° 78-17 du 6 janvier 2018 relative à l’informatique, aux fichiers et aux libertés, dans sa rédaction issue de l’article 11 de la loi n° 2018-498 du 20 juin 2018, encadre le traitement du NIR et renvoie au gouvernement la charge d’en détailler ceux qui sont autorisés. C’est le décret n° 2019-341 du 19 avril 2019 qui expose la liste de ces traitements, soit qu’ils portent sur l’exploitation du NIR, soit qu’ils portent sur la consultation du Répertoire National d’Identification des Personnes Physiques. Ces traitements sont répartis dans 8 grands champs d’application : la protection sociale ; la santé ; le travail et l’emploi ; la finance, la fiscalité et les douanes ; la justice ; les statistiques ; l’éducation et le logement. » https://accens-avocats.com/blog/2019/05/13/utilisation-du-numero-de-securite-sociale-nir-dans-les-traitement-de-donnees-des-esms/
2. Microsoft a par ailleurs été accusé « d’entraîner illégalement » ses technologies d’intelligence artificielle (IA) à partir des données de Twitter https://www.mediapart.fr/journal/fil-dactualites/190523/twitter-acc

Pour aller plus loin

Fuite de données à Pôle emploi: 10 millions de personnes potentiellement touchées (BFMTV)

Pôle Emploi 2.0. : dans l’enfer de l’administration numérique (HACN)

Claude Poulain, « Le projet SAFARI (1970-1974) » (journal open edition)

Classer pour dominer : petite histoire critique du fichage en France (LQDN)

Par ces fichiers, l'Etat organise son contrôle et sa domination sur la population (HACN)

Précaires sous plateforme : la grande arnaque de France Travail (HACN)