Le 23 août dernier, Pôle Emploi annonçait dans un communiqué qu’un de ces prestataires avait été la victime d’un acte de malveillance. A la suite de cela, les données de plus de 10 millions de demandeurs d’emploi sont en vente sur le darkweb. Ces données sont proposées pour seulement 900 dollars sur un forum de hackers.
Fuite des données de Pôle emploi : analyse sur les acteurs de la menace
Les demandeurs d'emploi inscrits en février 2022, ainsi que les anciens usagers de Pôle emploi sont potentiellement concernés par ce vol de données personnelles. Les informations exposées comprennent les noms complets et les numéros de sécurité sociale, tandis que les adresses électroniques, les numéros de téléphone, les mots de passe et les données bancaires n'ont pas été affectés par cette fuite de données. Bien que les données exposées n'aient qu'une utilité limitée dans les opérations de cybercriminalité, Pôle emploi recommande aux demandeurs d'emploi inscrits d'être prudents avec les communications qu'ils reçoivent.
L'attaque aurait été perpétrée par le groupe MOVEit et le gang du ransomware Clop.
L’attaque par chaine d’approvisionnement basée sur MOVEit ne semble pas s'arrêter et nous en parlerons probablement rétrospectivement comme l'un des plus grands piratages de 2023. Dans ce cas précis, il conviendra de rappeler régulièrement aux personnes victimes de cette fuite qu’elles peuvent recevoir des courriels d’hameçonnage plus vrais que nature, et ce durant des années. Il est en effet très compliqué de modifier son numéro de sécurité sociale. Si les pirates peuvent laisser passer quelques mois ou années avant d’utiliser ces données, les intéressés pourraient oublier cette fuite de données.
D’autre part, on peut espérer que le gang du ransomware Clop, qui a annoncé qu'il n'utiliserait pas les données obtenues auprès d'entités gouvernementales, tienne sa promesse. Toutefois, il s'agit ici de cybercriminels et il n'y a aucune raison de faire confiance aux gangsters pour tenir leurs promesses.
Cette attaque a permis de tirer deux enseignements essentiels :
● S’il est avéré que Clop est à l’origine de l’attaque, il est très probable que ce gang agit au hasard, et a saisi l’opportunité que représente MOVEit. Son utilisation au niveau mondial garantissant aux attaquants de nombreuses opportunités.
● Aucun réseau ne doit être considéré comme "automatiquement sûr", simplement parce qu'il est géré par une institution gouvernementale ou une grande entreprise. Nous recommandons de vérifier et remplacer vos mots de passe par des phrases fortes.