Fuite de données Pôle emploi: le hacker aurait renoncé à vendre la base

Un sursis pour les victimes d'une fuite de données chez Pôle emploi. Alors qu'un hacker avait mis en vente un fichier contenant 1,2 million de données personnelles issues de l'établissement public pour un peu plus de 800 euros, il renonce désormais à l'opération, rapporte le site Zataz, tenu par le spécialiste en cybersécurité Damien Bancal.

"Quelqu’un m’a écrit en MP [message privé, ndlr] et m’a expliqué qu’il s’agissait d’une base de données gouvernementale sur les chômeurs. J’ai fait preuve d’empathie: je ne l’ai vendue à personne et je l’ai retirée de la vente […] Dans une période aussi difficile, les institutions étatiques comme Pole emploi sont d’une grande utilité pour la société, et j’ai décidé de ne pas ruiner leur réputation" précise le hacker auprès de Zataz, ajoutant qu'il préfère s'attaquer à des "grosses structures commerciales qui économisent de l’argent sur la sécurité des données de leurs clients".

Nombreuses informations sensibles

Comme le rapportaient plusieurs journalistes et spécialistes en cybersécurité les 12 et 13 juin sur Twitter, la base de données avait été mise en vente le 10 juin sur un célèbre forum de hackers, où l'on retrouvait également la base de données de 20 millions de numéros de téléphone d'utilisateurs français de Facebook.

Comme avait pu le vérifier BFMTV, les extraits mis en ligne librement par le vendeur contenaient des informations authentiques, liées à des demandeurs d'emploi. Parmi ces données figuraient le nom, le prénom, l'âge, le numéro de téléphone, l'adresse mail, le code postal, mais aussi le niveau d'étude et la possession d'un permis de conduire par les victimes. Autant d'informations sensibles, habituellement communiquées à de potentiels employeurs.

Comme l'évoquait le site Numerama fin 2020, d'importantes faiblesses dans le fonctionnement de Pôle emploi pouvaient laisser craindre la fuite de telles données. Le média spécialisé remarquait que n'importe qui pouvait, sans contrôle, ouvrir un compte employeur et accéder aux CV des demandeurs d'emploi. Avec à la clef la possibilité de collecter massivement ces informations.

Pour les victimes, le principal risque est de faire face à des tentatives d'escroquerie particulièrement efficaces, car tenant compte de leur profil pour les mettre en confiance.

Contacté par BFMTV le 14 juin dernier, Pôle emploi annonçait l'ouverture d'une enquête, sans toutefois communiquer publiquement sur le sujet. Contactée par BFMTV, la Cnil confirme avoir reçu une notification de violation de données qui est "en cours d'instruction".

Si le hacker ayant mis en vente la base renonce à son action, d'autres pirates pourraient s'en inspirer et profiter des mêmes failles pour collecter à leur tour des informations liées aux demandeurs d'emploi français.