x0rg
/
9x0rg.com
1
0
Fork 0
Code Releases Activity

Upload files to "content/posts/infosec"

This commit is contained in:
Olivier 2024-03-14 17:15:21 +01:00
parent ef5c681681
commit 7f0c81fb65
1 changed files with 61 additions and 0 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

61
content/posts/infosec/francetravail-ou-la-startup-nation-a-l-oeuvre.md Normal file
View File

@ -0,0 +1,61 @@
---
title: "France Travail ou la 'Start-up nation' à lœuvre"
date: 2024-03-14T11:45:00+06:00
draft: false
tags: ["data privacy","infosec","data breach","RGPD", "CNIL"]
author: "Olivier Falcoz"
hidemeta: false
ShowReadingTime: true
ShowPostNavLinks: true
showtoc: false
cover:
image: "/images/"
alt: "<alt text>"
caption: "<text>"
---
![France Travail laisse fuiter les données de 33 millions de personnes](/images/france-travail-se-distingue-en-cybersecurite.png "France Travail laisse fuiter les données de 33 millions de personnes")
Chez le tout nouveau *France Travail* (ex- Pôle Emploi, ex- ANPE) il y a ceux qui font leur boulot[^1] et puis il y a [les autres](https://web.archive.org/web/20240313183337/https://www.francetravail.org/accueil/communiques/2024/france-travail-et-cap-emploi-victimes-dune-cyberattaque.html?type=article), notamment ceux du service SSI[^2] qui devaient avoir aqua-poney le jour où la solidité du tout nouveau site web et de son *backend* a été éprouvée. Si elle l'a été, ce dont vous me permettrez de douter (voir plus bas).
## 43 millions de Français impactés
*France Travail*, sans doute animée par le souci de démontrer que ~~la gabegie~~ le budget alloué à son *rebranding* ne l'a pas été en vain, réussit à battre la précédent record détenu jusqu'à présent par le duo Viamedis et Almerys qui avaient *laissé fuiter* les données personnelles de plus [33 millions de personnes](https://cnil.fr/fr/violation-de-donnees-de-deux-operateurs-de-tiers-payant-la-cnil-ouvre-une-enquete-et-rappelle-aux) (état civil, date de naissance, numéro de sécurité sociale, nom de lassureur santé, garanties du contrat souscrit - Février 2024). Notons que Pôle Emploi avait déjà *égaré* les données de [10 millions de personnes](https://archive.wikiwix.com/cache/index2.php?url=https%3A%2F%2Fwww.latribune.fr%2Ftechnos-medias%2Finformatique%2Fpole-emploi-les-donnees-personnelles-volees-a-10-millions-de-chomeurs-sont-en-vente-sur-le-darknet-973944.html#&) en 2023.
L'affaire est suffisamment grave cette fois pour qu'on ait pris la peine de [sortir la CNIL de sa sieste](https://www.cnil.fr/fr/france-travail-la-cnil-enquete-sur-la-fuite-de-donnees-et-donne-des-conseils-pour-se-proteger).
## Les données *exposées*
> Compte tenu des investigations techniques menées, les données personnelles didentification (DPI) exposées sont: nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone -- *[France Travail](https://www.francetravail.org/accueil/communiques/2024/france-travail-et-cap-emploi-victimes-dune-cyberattaque.html?type=article)*
Et de souligner en gras que:
> Les mots de passe et les coordonnées bancaires ne sont pas concernés par cet acte de cybermalveillance. Il nexiste donc aucun risque sur lindemnisation.
Effectivement, il ne reste plus grand chose à *égarer* à part les détails bancaires, toutes les DPI étant déjà dans la nature.
## Un site tout pété
Chez les gens un tant soit peu sérieux, il est de coutume de tester la solidité d'un site avant de le mettre en production; il faut croire que *France Travail* ~~n'y a pas pensé~~ n'a eu ni le temps ni les ressources pour le faire. Des outils simples existent pour cela, qui offrent un aperçu de la posture cybersécurité d'une site web (TLS, ciphers, PFS, HTTPS, etc.) à compléter évidemment par des audits en profondeur des interactions que le site peut avoir avec les applications tierces, l'évaluation de la surface d'attaque, les réactions en cas de crise, etc. Mais commençons par le commencement.
![Score pitoyable de francetravail.fr au Mozilla Observatory](/images/francetravail-fr-et-son-score-pitoyable-en-cybersecurite.png "Score pitoyable de francetravail.fr au Mozilla Observatory")
Le [Mozilla Observatory](https://observatory.mozilla.org/analyze/francetravail.fr) leur décerne un score pitoyable de 5/100 (au 14 Mars 2024).
Outre le vénérable [Mozilla Observatory](https://observatory.mozilla.org) d'autres sites tels [cryptcheck.fr](https://cryptcheck.fr/) de l'excellent [@aeris](https://imirhil.fr/), [securityheaders.com](https://securityheaders.com/), [internet.nl](http://internet.nl/), [hardenize.com](https://hardenize.com) `testssl.sh (CLI)`et beaucoup d'autres permettent dévaluer en quelques minutes la solidité d'une application exposée au Web (*web-facing app* comme disent nos adversaires légendaires au rugby). Si la vitrine est aussi vilaine, je n'ose imaginer la tête de l'arrière-cour. Mais *France Travail manque de ressources* vous dit-on. Pourtant il devrait être possible de trouver facilement des profils de développeurs Web non? Parmi 43 millions de profils...
Mais comme *France Travail* n'est probablement pas du genre à admettre qu'ils sont simplement mauvais, une petite phrase en fin de communiqué leur permet de se défausser sur les [nombreux partenaires](https://fr.wikipedia.org/wiki/France_Travail#Recours_aux_op%C3%A9rateurs_priv%C3%A9s_(OPP)) à qui les données sont transmises:
> Dès la connaissance avérée de cette intrusion, nous avons pris des mesures complémentaires pour renforcer nos dispositifs de protection des accès à nos applicatifs par nos partenaires -- *C'est pas nous, promis!*
## Porter plainte
Une fois n'est pas coutume, les Gendarmes de l'Internet français nous informent qu'il est possible de porter plainte:
> Comme le prévoit notamment le RGPD[^3], France Travail informera individuellement lensemble des personnes concernées par cette violation de données personnelles. Les personnes concernées par cette violation de leurs données personnelles ont la possibilité de déposer plainte en utilisant le formulaire de [lettre-plainte en ligne](https://www.demarches-simplifiees.fr/commencer/lettre-plainte-suite-a-la-fuite-de-donnees-france-travail) -- cybermalveillance.gouv.fr
Ils risquent d'avoir un peu de travail si 43 millions de Français décident de porter plainte. Imaginons qu'il leur faille embaucher; c'est *France Travail* qui serait content.
[^1]: *Ahem, quoique* vous diront certains mais c'est un autre - et très vaste - sujet
[^2]: Sécurité des Services d'Information
[^3]: Règlement Général sur la Protection des Données - [Wikipedia](https://fr.wikipedia.org/wiki/RGPD)