--- title: "France Travail ou la 'Start-up nation' à l’œuvre" date: 2024-03-14T11:45:00+06:00 draft: false tags: ["data privacy","infosec","data breach","RGPD", "CNIL"] author: "Olivier Falcoz" hidemeta: false ShowReadingTime: true ShowPostNavLinks: true showtoc: false cover: image: "/images/" alt: "" caption: "" --- ![France Travail laisse fuiter les données de 33 millions de personnes](/images/france-travail-se-distingue-en-cybersecurite.png "France Travail laisse fuiter les données de 33 millions de personnes") Chez le tout nouveau *France Travail* (ex- Pôle Emploi, ex- ANPE) il y a ceux qui font leur boulot[^1] et puis il y a [les autres](https://web.archive.org/web/20240313183337/https://www.francetravail.org/accueil/communiques/2024/france-travail-et-cap-emploi-victimes-dune-cyberattaque.html?type=article), notamment ceux du service SSI[^2] qui devaient avoir aqua-poney le jour où la solidité du tout nouveau site web et de son *backend* a été éprouvée. Si elle l'a été, ce dont vous me permettrez de douter (voir plus bas). ## 43 millions de Français impactés *France Travail*, sans doute animée par le souci de démontrer que ~~la gabegie~~ le budget alloué à son *rebranding* ne l'a pas été en vain, réussit à battre la précédent record détenu jusqu'à présent par le duo Viamedis et Almerys qui avaient *laissé fuiter* les données personnelles de plus [33 millions de personnes](https://cnil.fr/fr/violation-de-donnees-de-deux-operateurs-de-tiers-payant-la-cnil-ouvre-une-enquete-et-rappelle-aux) (état civil, date de naissance, numéro de sécurité sociale, nom de l’assureur santé, garanties du contrat souscrit - Février 2024). Notons que Pôle Emploi avait déjà *égaré* les données de [10 millions de personnes](https://archive.wikiwix.com/cache/index2.php?url=https%3A%2F%2Fwww.latribune.fr%2Ftechnos-medias%2Finformatique%2Fpole-emploi-les-donnees-personnelles-volees-a-10-millions-de-chomeurs-sont-en-vente-sur-le-darknet-973944.html#&) en 2023. L'affaire est suffisamment grave cette fois pour qu'on ait pris la peine de [sortir la CNIL de sa sieste](https://www.cnil.fr/fr/france-travail-la-cnil-enquete-sur-la-fuite-de-donnees-et-donne-des-conseils-pour-se-proteger). ## Les données *exposées* > Compte tenu des investigations techniques menées, les données personnelles d’identification (DPI) exposées sont: nom et prénom, date de naissance, numéro de sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone -- *[France Travail](https://www.francetravail.org/accueil/communiques/2024/france-travail-et-cap-emploi-victimes-dune-cyberattaque.html?type=article)* Et de souligner en gras que: > Les mots de passe et les coordonnées bancaires ne sont pas concernés par cet acte de cybermalveillance. Il n’existe donc aucun risque sur l’indemnisation. Effectivement, il ne reste plus grand chose à *égarer* à part les détails bancaires, toutes les DPI étant déjà dans la nature. ## Un site tout pété Chez les gens un tant soit peu sérieux, il est de coutume de tester la solidité d'un site avant de le mettre en production; il faut croire que *France Travail* ~~n'y a pas pensé~~ n'a eu ni le temps ni les ressources pour le faire. Des outils simples existent pour cela, qui offrent un aperçu de la posture cybersécurité d'une site web (TLS, ciphers, PFS, HTTPS, etc.) à compléter évidemment par des audits en profondeur des interactions que le site peut avoir avec les applications tierces, l'évaluation de la surface d'attaque, les réactions en cas de crise, etc. Mais commençons par le commencement. ![Score pitoyable de francetravail.fr au Mozilla Observatory](/images/francetravail-fr-et-son-score-pitoyable-en-cybersecurite.png "Score pitoyable de francetravail.fr au Mozilla Observatory") Le [Mozilla Observatory](https://observatory.mozilla.org/analyze/francetravail.fr) leur décerne un score pitoyable de 5/100 (au 14 Mars 2024). Outre le vénérable [Mozilla Observatory](https://observatory.mozilla.org) d'autres sites tels [cryptcheck.fr](https://cryptcheck.fr/) de l'excellent [@aeris](https://imirhil.fr/), [securityheaders.com](https://securityheaders.com/), [internet.nl](http://internet.nl/), [hardenize.com](https://hardenize.com) `testssl.sh (CLI)`et beaucoup d'autres permettent d’évaluer en quelques minutes la solidité d'une application exposée au Web (*web-facing app* comme disent nos adversaires légendaires au rugby). Si la vitrine est aussi vilaine, je n'ose imaginer la tête de l'arrière-cour. Mais *France Travail manque de ressources* vous dit-on. Pourtant il devrait être possible de trouver facilement des profils de développeurs Web non? Parmi 43 millions de profils... Mais comme *France Travail* n'est probablement pas du genre à admettre qu'ils sont simplement mauvais, une petite phrase en fin de communiqué leur permet de se défausser sur les [nombreux partenaires](https://fr.wikipedia.org/wiki/France_Travail#Recours_aux_op%C3%A9rateurs_priv%C3%A9s_(OPP)) à qui les données sont transmises: > Dès la connaissance avérée de cette intrusion, nous avons pris des mesures complémentaires pour renforcer nos dispositifs de protection des accès à nos applicatifs par nos partenaires -- *C'est pas nous, promis!* ## Porter plainte Une fois n'est pas coutume, les Gendarmes de l'Internet français nous informent qu'il est possible de porter plainte: > Comme le prévoit notamment le RGPD[^3], France Travail informera individuellement l’ensemble des personnes concernées par cette violation de données personnelles. Les personnes concernées par cette violation de leurs données personnelles ont la possibilité de déposer plainte en utilisant le formulaire de [lettre-plainte en ligne](https://www.demarches-simplifiees.fr/commencer/lettre-plainte-suite-a-la-fuite-de-donnees-france-travail) -- cybermalveillance.gouv.fr Ils risquent d'avoir un peu de travail si 43 millions de Français décident de porter plainte. Imaginons qu'il leur faille embaucher; c'est *France Travail* qui serait content. [^1]: *Ahem, quoique* vous diront certains mais c'est un autre - et très vaste - sujet [^2]: Sécurité des Services d'Information [^3]: Règlement Général sur la Protection des Données - [Wikipedia](https://fr.wikipedia.org/wiki/RGPD)