Cyber-malveillance : une base de données Pôle Emploi se commercialise 900 dollars, selon le spécialiste de la cybersécurité Damien Bancal

Une base de données Pôle Emploi se commercialise 900 dollars, selon le spécialiste de la cybersécurité Damien Bancal, journaliste et fondateur du blog zataz.com, interviewé dans la soirée vendredi 25 août sur franceinfo. La section cybercriminalité du parquet de Paris a ouvert mercredi 23 août une enquête pour "introduction et maintien frauduleux dans un système de traitement automatisé de données", après un acte de cyber-malveillance envers un des prestataires de Pôle Emploi.

>> Cyberattaques : que deviennent nos données quand elles sont volées ?

franceinfo : De quelles données parle-t-on exactement ?

Damien Bancal : On a un pirate informatique qui commercialise deux bases de données : la première daterait de 2021, l'autre de 2022. On y trouve des noms, des prénoms, des numéros de Sécurité sociale, des numéros de téléphone, des adresses mail. On a même certains documents qui font de la géolocalisation. Heureusement, il n'y a pas de données bancaires.

Quel est l'intérêt d'avoir ce type de données ?

Ça fait une dizaine d'années que j'observe ce marketing de la malveillance : pour eux, une base de données se commercialise. Dans le cas de Pôle Emploi, elle est à 900 dollars. En 2021, une première partie de cette base de données était vendue 1 200 dollars par ce même pirate sur d'autres forums. Les acheteurs ont plusieurs buts : d'abord, une curiosité malsaine qui va servir ensuite au hameçonnage, le fameux phishing, qui va servir à se faire passer par la suite pour Pôle Emploi, par exemple.

>> Cybersécurité : l'Agence nationale de la sécurité des systèmes d'information a "compté à peu près 2 000 cyberattaques en 2022" en France

On peut avoir aussi des escroqueries par téléphone ou par mail. Le plus inquiétant : des malveillants professionnels pourraient contacter des usagers de Pôle Emploi en leur proposant un faux emploi, se présenter sous l'apparence d'une vraie société, leur faire signer un vrai-faux contrat. Ces personnes pourraient recevoir des chèques ou des produits volés, et ces faux employés pourraient les renvoyer dans des contrées plus lointaines, et deviendraient des malveillants sans le savoir.

Y a-t-il une faille, une vulnérabilité, de la part des organismes publics quand ils font appel à des sociétés prestataires ?

En France, on est normalement particulièrement bien blindés face à tout ça. On a d'abord notre CNIL (Commission nationale de l'informatique et des libertés), on a l'ANSSI (Agence nationale de la sécurité des systèmes d'information). Normalement, une entreprise, d'autant plus étatique, a eu de la formation, de l'éducation, des rappels à la loi, et ses partenaires économiques et techniques doivent eux aussi prendre en compte des données prêtées. Les bases de données sont des informations contrôlées par la CNIL et par une loi comme le RGPD. Mais on a en face des pirates dont c'est devenu le métier, et ils n'ont pas besoin d'être des génies. Ils ont besoin d'une chance.

Pôle Emploi assure qu'il ne faut pas hésiter, en cas d'inquiétude, à contacter son conseiller ou à appeler le standard au 3949, mais que peut-on faire désormais ?

Les personnes doivent faire attention aux appels téléphoniques qu'ils vont recevoir, et potentiellement à tous les courriers électroniques en provenance d'inconnus. Comme d'habitude, on ne clique pas sur n'importe quoi, et on n'hésite pas à faire appel à Pôle Emploi qui pourrait potentiellement répondre "non, ce n'est pas nous qui vous avons écrit".