Derrière le piratage des données de 43 millions de Français chez France Travail, l’insoutenable légèreté de l’Etat en matière de sécurité informatique<!-- --> | Atlantico.fr
Atlantico, c'est qui, c'est quoi ?
Newsletter
Décryptages
Pépites
Dossiers
Rendez-vous
Atlantico-Light
Vidéos
Podcasts
Société
France Travail, le nouveau Pôle Emploi, a récemment fait l'objet d'un très large piratage, concernant 43 millions d'individus.
France Travail, le nouveau Pôle Emploi, a récemment fait l'objet d'un très large piratage, concernant 43 millions d'individus.
©SEBASTIEN BOZON / AFP

Y a-t-il un pilote dans l’avion ?

Derrière le piratage des données de 43 millions de Français chez France Travail, l’insoutenable légèreté de l’Etat en matière de sécurité informatique

Entre autres manquements effarants, nombre d’organismes publics ne respectent pas la RGPD qui s’impose pourtant à eux comme à tous les acteurs privés.

Thierry Berthier et Franck DeCloquement
Thierry Berthier

Thierry Berthier

Thierry Berthier est Maître de Conférences en mathématiques à l'Université de Limoges et enseigne dans un département informatique. Il est chercheur au sein de la Chaire de cybersécurité & cyberdéfense Saint-Cyr – Thales -Sogeti et est membre de l'Institut Fredrik Bull.

Voir la bio »
Franck DeCloquement

Franck DeCloquement

Ancien de l’Ecole de Guerre Economique (EGE), Franck DeCloquement est expert-praticien en intelligence économique et stratégique (IES), et membre du conseil scientifique de l’Institut d’Études de Géopolitique Appliquée - EGA. Il intervient comme conseil en appui aux directions d'entreprises implantées en France et à l'international, dans des environnements concurrentiels et complexes. Membre du CEPS, de la CyberTaskforce et du Cercle K2, il est aussi spécialiste des problématiques ayant trait à l'impact des nouvelles technologies et du cyber, sur les écosystèmes économique et sociaux. Mais également, sur la prégnance des conflits géoéconomiques et des ingérences extérieures déstabilisantes sur les Etats européens. Professeur à l'IRIS (l’Institut de Relations Internationales et Stratégiques), il y enseigne l'intelligence économique, les stratégies d’influence, ainsi que l'impact des ingérences malveillantes et des actions d’espionnage dans la sphère économique. Il enseigne également à l'IHEMI (L'institut des Hautes Etudes du Ministère de l'Intérieur) et à l'IHEDN (Institut des Hautes Etudes de la Défense Nationale), les actions d'influence et de contre-ingérence, les stratégies d'attaques subversives adverses contre les entreprises, au sein des prestigieux cycles de formation en Intelligence Stratégique de ces deux instituts. Il a également enseigné la Géopolitique des Médias et de l'internet à l’IFP (Institut Française de Presse) de l’université Paris 2 Panthéon-Assas, pour le Master recherche « Médias et Mondialisation ». Franck DeCloquement est le coauteur du « Petit traité d’attaques subversives contre les entreprises - Théorie et pratique de la contre ingérence économique », paru chez CHIRON. Egalement l'auteur du chapitre cinq sur « la protection de l'information en ligne » d u « Manuel d'intelligence économique » paru en 2020 aux Presses Universitaires de France (PUF).
Voir la bio »

Atlantico : France Travail, le nouveau Pôle Emploi, a récemment fait l'objet d'un très large piratage, concernant 43 millions d'individus. Les données de chaque internaute inscrit sur la plateforme dans le courant des 20 dernières années sont menacées. Que sait-on, exactement, de l'ampleur de cette faille sécuritaire ?

Thierry Berthier : Pour être tout à fait honnête, nous manquons encore de certains éléments pour qualifier avec une grande précision le phénomène. Ce que l’on sait, c’est qu’il y a eu, à la base, une opération d’usurpation d’identité et de tromperie sur des collaborateurs de France Travail. Bien souvent, c’est la porte d’entrée : des collaborateurs sont compromis, des identités sont volées à l’aide d’e-mail frauduleux ou de faux liens vers un portail connu permettant de récupérer les identifiants de connexion ou d’autres données sensibles. C’est d’autant plus vrai pour les mots de passe qui n’ont pas le bon niveau de robustesse et qu’il est donc plus aisé de récupérer. Surfer sur les failles humaines permet souvent d’entrer dans un système : une fois que l’on dispose de plusieurs comptes, il devient possible de généraliser l’attaque, de monter en privilège.

Dans le cas présent, on sait également que l’attaque s’est déployée entre février et mars, ce qui est assez long. Il est certain que, depuis, les comptes compromis en interne ont été identifiés et il s’agit maintenant de les isoler comme de nettoyer ce qui peut l’être. On sait également que les équipes compétentes ont repéré, rétrospectivement, une exfiltration massive des données. On parle effectivement de plus de 40 millions de données qui ont été exfiltrées en un mois. C’est considérable. Sur un réseau, c’est quelque chose qui se voit, d’ailleurs bien avant que l’on en arrive à de tels niveaux. Sauf, bien sûr, à ne pas disposer d’outils de supervision performants. Avec un outil de type SIEM (Security Information and Event Management) ou de type UEBA (User Entity Behavior Analytics), c’est quelque chose qui se repère vite. Il n’y a pas besoin d’attendre un mois, l’alerte peut être donnée très rapidement.. 

Franck Decloquement : Pour l’heure, nous savons dans quel contexte géoéconomique et géopolitique s’inscrit cette attaque : celui de la guerre entre la Russie et l’Ukraine. Et dans ce contexte justement, la France est une cible. On sait également que les récentes déclarations du président français ont pu vexer les Russes, en témoignent les réactions à chaud du président Vladimir Poutine. Il n’est donc pas exclu que cette attaque ait été menée par des hackers russes ou pro-russes. Encore faudra-t-il le démontrer par une attribution informatique, mais il est vraisemblable qu’ils aient fait le choix de s’attaquer aux infrastructures sensibles en France, et tout particulièrement nos administrations, à des fins de déstabilisation de notre pays. Plus précisément dans ce cas spécifique, et pour ce que l'on en sait de source ouverte, on parle ici de l’extraction de millions de données, concernant la quasi-totalité des Français inscrits à France Travail/Pôle Emploi sur les 20 dernières années, et toutes les personnes inscrites actuellement. 

Les données ayant été exfiltrées concernent l’adresse mail, l’identité (noms & prénoms), la date de naissance, l'identifiant France Travail, mais aussi les numéros de téléphone, les adresses mail et postale personnelles et potentiellement les numéros de sécurité sociale. En revanche, les mots de passe et coordonnées bancaires elles ne seraient pas concernés par cette action de cybermalveillance.
Dès lors, il importe de se questionner : comment une telle situation a-t-elle été rendue possible ? A qui incombe la faute ou la responsabilité ? Le grand nombre d’acteurs intermédiaires et de fournisseurs travaillant à la remontée des informations vers l’administration peut servir de première piste d’explications. On sait que les pirates peuvent user très fréquemment dans leurs attaques, d’intermédiaires moins protégés ou négligeant sur le plan informatique - on parle alors de proxys - qui servent à gravir l’échelle des infrastructures digitales jusqu'à la faille leur permettant d'entre dans le dispositif ciblé. Une fois à l’intérieur, ils se pré-positionnent en vue d’une prochaine attaque, quitte à rester tapis des mois en dormance, ou des années durant, avant de porter le coup fatal et de saccager par la même occasion sur la base de donnée visée. 

D’autres optent pour des opérations foudroyantes : une attaque massive dans la nuit par déni de service par exemple, ou de déréférencement du site visé, ou durant une période de la journée bien particulière pour ravir le plus d’informations possible, à l’aide des différents dispositifs informatiques de piratages qu’ils ont eu l’occasion d’introduire et de déployer au préalable. Ceux-ci correspondent  à des codes malveillants, d’éventuelles compromissions sur le chiffrement des bases de données… on peut tout envisager à ce stade. Enfin, certains préfèrent supprimer la totalité des données de la base plutôt que de se contenter de les voler à des fins mercantiles sur le darkweb.

Ceci étant dit, nous n’avons pas d’information plus précises à date. Les services de l’Etat, et particulièrement l’ANSSI, sont en train de procéder à une investigation de profondeur pour dresser la nature des dégâts, évaluer l’ampleur de l’attaque, les points d’accès utilisés par les assaillants à des fins de remédiation. Il est possible que ceux-ci aient laissé des traces patentes, et que nous soyons donc en mesure de les identifier. 

Comment expliquer ce manquement ? De quoi résulte-t-il exactement et à quel point était-il prévisible ?

Thierry Berthier : Notons d’abord que le manquement n’est pas nécessairement uniquement technique. Sur l’ensemble des collaborateurs de France Travail, certains sont forcément plus vulnérables que d’autres à la tromperie, à l’attaque cyber, qui peuvent parfois être victimes de la fatigue ou de la trop grande confiance qu’ils placent dans l’informatique. Les attaquants font feu de tout bois. Ils sont opportunistes. Il suffit de deux comptes récupérés pour mener l’attaque. Un manquement humain est tout à fait envisageable.

Ce qui est certain, c’est que les assaillants n’ont pas été mauvais : ils ont pu rester infiltrés un mois durant sans être repérés et exfiltrer un nombre conséquent de données. Même sans connaître la structure exacte de France Travail en matière de cybersécurité, il apparaît légitime de songer à une importante remise en question : qui est (ou était) le fournisseur de solution de sécurité, y a-t-il eu un audit complet ? En principe, cela aurait dû être le cas, compte tenu de l’importance de cette administration, qui fait normalement l’objet de multiples contrôles. Il me semble évident que, à l’issue d’une pareille attaque, il y aura une remise en question conséquente de ce système de sécurité et il est plausible que France Travail change de fournisseur de solutions en matière de cybersécurité.

Il paraît en tout cas plausible que le problème émane du matériel utilisé. Le SIEM, c’est-à-dire, la solution de supervision réseau, n’est peut-être pas assez performant. Certains sont de véritables passoires. Il suffit que celui-ci ne soit pas très bon pour que les assaillants puissent passer. Auquel cas, la responsabilité retomberait de facto sur France Travail, mais aussi sur le prestataire.

Notons qu’à l’heure actuelle, nous disposons de solutions qui s’appuient sur de l’intelligence artificielle pour détecter les exfiltrations sur 24h ainsi que sur des durées plus longues. Les données qui ont ici été volées, c’est important de le rappeler, sont sensibles : on parle du nom, du prénom, du numéro de sécurité sociale… Il ne manque plus que les mots de passe et le numéro de carte bancaire pour cocher toutes les cases.

La cybersécurité absolue, ceci étant dit, n'existe pas. C’est mathématique. L’avantage, cependant, est toujours au glaive et la complexité toujours au bouclier. L’action de défendre un système toujours plus gros, qui compte des millions d’utilisateurs, est bien plus complexe que de mener une attaque. L’assaillant n’a qu’à jeter ses filets et récupérer, après plusieurs tentatives parfois, ses proies. C’est pourquoi plusieurs organismes, comme c’est le cas de l’ANSSI, sont chargés d’assurer la cybersécurité de l’Etat et de ses administrations. Certaines d’entre elles résistent bien à la plupart des attaques, dont plusieurs sont potentiellement menées par des groupes de hackers pro-russes. Les cibles à haute valeur ajoutée n’ont pas été impactées, semble-t-il, alors même qu’elles font l’objet d’attaques quotidiennes. 

Dès lors, il apparaît évident que la probabilité pour que de telles plateformes (et cela ne se limite pas à France Travail) est très élevée. D’autant plus que les bases de données en question servent au quotidien et ne peuvent donc pas être hermétiques. Il y a toujours une interaction, de nombreuses portes d’entrée et autant de portes de sortie. Il est évident que si France Travail avait un SIEM performant, la fuite aurait été détectée plus vite.

Franck Decloquement : Un dispositif informatique fait toujours montre de vulnérabilités. Quand celles-ci sont identifiées, il est primordiale de les "patcher", au risque de voir la coque de notre canot pneumatique virtuel être transpercé. Le patch informatique, telle une "rustine" pour résumer la chose, c’est le correctif que l’on produit quand on détecte une faille, un manquement. Pour identifier ceux-ci, le plus simple consiste souvent à diligenter des hackers spécialisés, que l’on nomme "hackers éthiques", qui vont procéder à des attaques consenties, réglementées et dument mandatées par une organisation, dans le cadre d'un “bug bounty” (ou “prime aux bogues”) tel que le permet la plateforme de gestion des vulnérabilités YesWeHack. Il s’agit ici de tester la surface d’attaque et les vulnérabilités des infrastructures avec le blanc-seing de l’organisation concernée, et potentiellement celui des services de renseignement concernés. Dès lors, tous les dispositifs possibles sont mis en tension pour faire tomber la protection afin de mettre au jour des failles inconnues… et permettre ainsi la réalisation, in fine, de correctifs efficaces.

Bien évidemment, pour parvenir à un résultat efficient, il faut aussi former les acteurs chargés, directement ou indirectement, de la protection cyber. Le facteur humain constitue et demeure le plus souvent l’une des plus importantes vulnérabilités d’un système informatique.

En France, la légèreté dont nous pouvons faire preuve s’explique de plusieurs façons. L’un des premiers éléments à prendre en considération, c’est le manque parfois criant de budget alloué, et consacré par l’Etat à l'efficience de sa protection cyber. En tout cas dans certaines strates de son organisation. L’Etat, c’est un fait, est relativement exsangue en matière budgétaire. Il faut alors faire des arbitrages, comme celui consistant à accorder 3 milliards d’euros à L’Ukraine quand il nous est pourtant nécessaire de réaliser par ailleurs, une économie drastique et globale de 20 milliards. Par conséquent, certaines sommes et certains secteurs ne sauraient être provisionnés. Et force est de constater dans les faits que les budgets de cybersécurité sont rarement protégés ou sanctuarisés contre les coupes franches, bien au contraire. Ce choix politique nous expose de facto aux regards d’une gamme d’acteurs dont certains sont objectivement malveillants à notre égard. Leur objectif direct ou indirect n’est autre que la percée de nos défenses vitales, pour pouvoir créer de la confusion sur notre sol, au niveau social, sociétal, ou même du côté des services aux personnes, qu’il s’agisse des problématiques de paiement ou d’enregistrement des billets des voyageurs pour ne citer que quelques exemples, parmi des milliers d'autres.

Contrevenir à ce danger demande une préparation conséquente. Nos entreprises et grands groupes, privés comme publics, se doivent donc de dépenser des sommes importantes pour être en mesure de sécuriser des dispositifs complexes dont l’évolution technique est permanente. En parallèle, elles sont aussi confrontées à l’injonction d'assurer une expérience utilisateur à peu près correcte, laquelle implique une potentielle perte de sécurité, si elle ne s’accompagne d’une batterie de correctifs où peuvent se nicher des singularités - ou des failles non détectées, dites aussi zero day - qu'utilisent les hackeurs pour nous attaquer. N’oublions d’ailleurs pas que ceux-ci ont la possibilité de recourir à des processus d’intelligence artificielle (IA) pour épauler leurs attaques. Ils n’ont pas besoin d’être particulièrement compétents pour réussir, du fait justement d’une certaine forme "d’ubérisation" de leurs moyens d’assaut. 

Quels sont les mauvais choix que nous avons pu faire en matière de cybersécurité ? La simplification permanente des démarches a-t-elle un impact sur la sécurité des bases concernées ?

Thierry Berthier : Sans connaître l’architecture exacte et les éventuelles dépendances des bases, il est très difficile de répondre. Dans tous les cas, il y a une compromission interne des comptes de collaborateurs de France Travail ce qui, dès lors, permet de passer outre la sécurité des bases. L’attaquant se connecte comme si il ou elle était monsieur ou madame X, travaillant pour France Travail. Dès lors, il y a un certain nombre de privilèges de connexion. Une fois que l’on est entré et que l’on a usurpé un compte légitime, on sort de l’illégalité et il est plus simple d’avoir accès à ces informations. C’est au moment de l’exfiltration de la donnée que tout devient plus compliqué, car le risque d’être piégé est réel. Soit nos assaillants ont été habiles et ont su diluer leur exfiltration, soit ils ont opté pour une exfiltration immédiate au risque d’être repéré immédiatement. Sans les éléments du dossier, il n’est pas possible de le savoir.

Franck Decloquement : La question est, sans doute, un peu trop globale. Pour prendre la mesure réelle du problème, il faut la découper secteur par secteur. Certains secteurs de l'administration, parce qu’ils font appel à des problématiques d’infrastructures vitales sont particulièrement protégés. On parle alors d’OIV (opérateurs d’importances vitaux). Les services de renseignements, particulièrement quand cela touche à la défense, investissent beaucoup sur ces sujets. C’est le cas de la Direction du renseignement et de la sécurité de la Défense (DRSD) qui dispose de moyens très conséquents pour protéger les différents périmètres de nos forces, et notamment les entreprises de la BITD. 

Bien sûr, certaines administrations – comme les régions, les mairies, les départements – demeurent les parents pauvres de la cybersécurité. Ce sont des points d’accès hélas privilégiés, que l’on oblige théoriquement à s’équiper d’officiers chargés de la protection cyber (les DPO) ainsi qu’à respecter le RGPD. Ce dernier impose la présence de responsables et de référents, afin de limiter les risques de fuites ou les piratages de données sensibles. Du moins… en théorie. Cela demande, en pratique, du temps, de la formation continue et de l’argent public, ce que certaines administrations ne peuvent pas garantir. L'assemblée des départements de France ainsi que son président François Sauvadet sont d'ailleurs très impliqués et engagés dans cette bataille au niveau de nos départements. Je peux en témoigner. Car il s'agit en effet d'un échelon central pour la protection de notre état qu'il est essentiel, voire prioritaire, de considérer à sa juste valeur, au regard de la production de données dont nos départements sont producteurs et détenteurs. 

Les experts cyber coûtent cher, la formation des jeunes talents coûte également très cher, et ils sont d’ailleurs très recherchés dans tous les secteurs en tension. D’où de réels trous dans la raquette faute des recrues nécessaires parfois.

Que dire de l'absence de respect du RGPD par le public, que semble illustrer ce nouveau piratage ?

Thierry Berthier : La note d’explication à la CNIL a été faite en temps et en heure, tandis que l’ampleur de l’attaque a été notifiée. Les règles et le protocole ont été respectés. La transparence a été assurée, il faudra maintenant en tirer les enseignements. Comprenons bien que le niveau des attaques (ainsi que leur niveau technique) n’a jamais été aussi fort. 

Bien évidemment, s’il y a eu des raccourcis ou des recours dans la doctrine de sécurité d’une telle structure, cela serait inadmissible. En matière de cyber, plus on est gros, plus on a un devoir d’exemplarité.

Il est vrai que, au sein des collectivités territoriales, la cybersécurité a parfois fait les frais des coupes budgétaires. C’était le dernier poste de dépense, qui ne générait pas de recettes. Mais depuis, les choses tendent à changer. L’acculturation au cyber fait que ces dynamiques vont en diminuant et, au demeurant, le phénomène est assez différent.

Commentaires

En raison de débordements, nous avons fait le choix de suspendre les commentaires des articles d'Atlantico.fr.

Mais n'hésitez pas à partager cet article avec vos proches par mail, messagerie, SMS ou sur les réseaux sociaux afin de continuer le débat !