From 7f0c81fb657583e14e720e9eb63f879ccbf2b1db Mon Sep 17 00:00:00 2001 From: Olivier Date: Thu, 14 Mar 2024 17:15:21 +0100 Subject: [PATCH] Upload files to "content/posts/infosec" --- ...travail-ou-la-startup-nation-a-l-oeuvre.md | 61 +++++++++++++++++++ 1 file changed, 61 insertions(+) create mode 100644 content/posts/infosec/francetravail-ou-la-startup-nation-a-l-oeuvre.md diff --git a/content/posts/infosec/francetravail-ou-la-startup-nation-a-l-oeuvre.md b/content/posts/infosec/francetravail-ou-la-startup-nation-a-l-oeuvre.md new file mode 100644 index 0000000..183bf6b --- /dev/null +++ b/content/posts/infosec/francetravail-ou-la-startup-nation-a-l-oeuvre.md @@ -0,0 +1,61 @@ +--- +title: "France Travail ou la 'Start-up nation' à l’œuvre" +date: 2024-03-14T11:45:00+06:00 +draft: false +tags: ["data privacy","infosec","data breach","RGPD", "CNIL"] +author: "Olivier Falcoz" +hidemeta: false +ShowReadingTime: true +ShowPostNavLinks: true +showtoc: false +cover: + image: "/images/" + alt: "" + caption: "" +--- + +![France Travail laisse fuiter les données de 33 millions de personnes](/images/france-travail-se-distingue-en-cybersecurite.png "France Travail laisse fuiter les données de 33 millions de personnes") + +Chez le tout nouveau *France Travail* (ex- Pôle Emploi, ex- ANPE) il y a ceux qui font leur boulot[^1] et puis il y a [les autres](https://web.archive.org/web/20240313183337/https://www.francetravail.org/accueil/communiques/2024/france-travail-et-cap-emploi-victimes-dune-cyberattaque.html?type=article), notamment ceux du service SSI[^2] qui devaient avoir aqua-poney le jour où la solidité du tout nouveau site web et de son *backend* a été éprouvée. Si elle l'a été, ce dont vous me permettrez de douter (voir plus bas). + +## 43 millions de Français impactés + +*France Travail*, sans doute animée par le souci de démontrer que ~~la gabegie~~ le budget alloué à son *rebranding* ne l'a pas été en vain, réussit à battre la précédent record détenu jusqu'à présent par le duo Viamedis et Almerys qui avaient *laissé fuiter* les données personnelles de plus [33 millions de personnes](https://cnil.fr/fr/violation-de-donnees-de-deux-operateurs-de-tiers-payant-la-cnil-ouvre-une-enquete-et-rappelle-aux) (état civil, date de naissance, numéro de sécurité sociale, nom de l’assureur santé, garanties du contrat souscrit - Février 2024). Notons que Pôle Emploi avait déjà *égaré* les données de [10 millions de personnes](https://archive.wikiwix.com/cache/index2.php?url=https%3A%2F%2Fwww.latribune.fr%2Ftechnos-medias%2Finformatique%2Fpole-emploi-les-donnees-personnelles-volees-a-10-millions-de-chomeurs-sont-en-vente-sur-le-darknet-973944.html#&) en 2023. + +L'affaire est suffisamment grave cette fois pour qu'on ait pris la peine de [sortir la CNIL de sa sieste](https://www.cnil.fr/fr/france-travail-la-cnil-enquete-sur-la-fuite-de-donnees-et-donne-des-conseils-pour-se-proteger). + +## Les données *exposées* + +> Compte tenu des investigations techniques menées, les données personnelles d’identification (DPI) exposées sont: nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone -- *[France Travail](https://www.francetravail.org/accueil/communiques/2024/france-travail-et-cap-emploi-victimes-dune-cyberattaque.html?type=article)* + +Et de souligner en gras que: +> Les mots de passe et les coordonnées bancaires ne sont pas concernés par cet acte de cybermalveillance. Il n’existe donc aucun risque sur l’indemnisation. + +Effectivement, il ne reste plus grand chose à *égarer* à part les détails bancaires, toutes les DPI étant déjà dans la nature. + +## Un site tout pété + +Chez les gens un tant soit peu sérieux, il est de coutume de tester la solidité d'un site avant de le mettre en production; il faut croire que *France Travail* ~~n'y a pas pensé~~ n'a eu ni le temps ni les ressources pour le faire. Des outils simples existent pour cela, qui offrent un aperçu de la posture cybersécurité d'une site web (TLS, ciphers, PFS, HTTPS, etc.) à compléter évidemment par des audits en profondeur des interactions que le site peut avoir avec les applications tierces, l'évaluation de la surface d'attaque, les réactions en cas de crise, etc. Mais commençons par le commencement. + +![Score pitoyable de francetravail.fr au Mozilla Observatory](/images/francetravail-fr-et-son-score-pitoyable-en-cybersecurite.png "Score pitoyable de francetravail.fr au Mozilla Observatory") + +Le [Mozilla Observatory](https://observatory.mozilla.org/analyze/francetravail.fr) leur décerne un score pitoyable de 5/100 (au 14 Mars 2024). + +Outre le vénérable [Mozilla Observatory](https://observatory.mozilla.org) d'autres sites tels [cryptcheck.fr](https://cryptcheck.fr/) de l'excellent [@aeris](https://imirhil.fr/), [securityheaders.com](https://securityheaders.com/), [internet.nl](http://internet.nl/), [hardenize.com](https://hardenize.com) `testssl.sh (CLI)`et beaucoup d'autres permettent d’évaluer en quelques minutes la solidité d'une application exposée au Web (*web-facing app* comme disent nos adversaires légendaires au rugby). Si la vitrine est aussi vilaine, je n'ose imaginer la tête de l'arrière-cour. Mais *France Travail manque de ressources* vous dit-on. Pourtant il devrait être possible de trouver facilement des profils de développeurs Web non? Parmi 43 millions de profils... + +Mais comme *France Travail* n'est probablement pas du genre à admettre qu'ils sont simplement mauvais, une petite phrase en fin de communiqué leur permet de se défausser sur les [nombreux partenaires](https://fr.wikipedia.org/wiki/France_Travail#Recours_aux_op%C3%A9rateurs_priv%C3%A9s_(OPP)) à qui les données sont transmises: + +> Dès la connaissance avérée de cette intrusion, nous avons pris des mesures complémentaires pour renforcer nos dispositifs de protection des accès à nos applicatifs par nos partenaires -- *C'est pas nous, promis!* + +## Porter plainte + +Une fois n'est pas coutume, les Gendarmes de l'Internet français nous informent qu'il est possible de porter plainte: + +> Comme le prévoit notamment le RGPD[^3], France Travail informera individuellement l’ensemble des personnes concernées par cette violation de données personnelles. Les personnes concernées par cette violation de leurs données personnelles ont la possibilité de déposer plainte en utilisant le formulaire de [lettre-plainte en ligne](https://www.demarches-simplifiees.fr/commencer/lettre-plainte-suite-a-la-fuite-de-donnees-france-travail) -- cybermalveillance.gouv.fr + +Ils risquent d'avoir un peu de travail si 43 millions de Français décident de porter plainte. Imaginons qu'il leur faille embaucher; c'est *France Travail* qui serait content. + + +[^1]: *Ahem, quoique* vous diront certains mais c'est un autre - et très vaste - sujet +[^2]: Sécurité des Services d'Information +[^3]: Règlement Général sur la Protection des Données - [Wikipedia](https://fr.wikipedia.org/wiki/RGPD) \ No newline at end of file