France Travail : 43 millions de données volées - Analyse complète
Retour détaillé sur le piratage de France Travail en mars 2024 : chronologie, données volées, failles exploitées, conséquences pour les 43 millions de victimes et leçons pour les entreprises.
Le 13 mars 2024, France Travail (anciennement Pôle emploi) annonce publiquement ce qui deviendra la plus grande fuite de données personnelles de l'histoire de France : les données de 43 millions de personnes - soit près de deux tiers de la population française - ont été compromises. L'ampleur est inédite, les conséquences durables, et les leçons pour toutes les organisations qui gèrent des données sensibles sont fondamentales.
Cet article reconstitue la chronologie complète de l'attaque, analyse les failles exploitées, détaille les données compromises et leurs risques, et tire les enseignements concrets pour les entreprises françaises.
Chronologie de l'attaque
L'intrusion : février-mars 2024
L'enquête a établi la chronologie suivante :
6 février 2024 - Début probable de l'intrusion. Les attaquants utilisent des identifiants compromis de conseillers Cap Emploi (organisme partenaire de France Travail pour l'accompagnement des personnes handicapées) pour accéder au système d'information de France Travail.
Février 2024 (durée indéterminée) - Les attaquants naviguent dans le système et accèdent progressivement à la base de données centralisée. L'extraction des données se fait sur plusieurs jours, voire semaines. Aucune alerte de sécurité n'est déclenchée pendant cette période.
5 mars 2024 - France Travail détecte des requêtes suspectes sur ses systèmes. L'investigation interne commence.
8 mars 2024 - France Travail notifie la CNIL de la violation de données, conformément à l'obligation de notification sous 72 heures du RGPD (article 33).
13 mars 2024 - France Travail publie un communiqué public reconnaissant la fuite et son ampleur : 43 millions de personnes potentiellement touchées.
17-19 mars 2024 - Trois suspects sont interpellés par la Brigade de lutte contre la cybercriminalité (BL2C). Ils sont âgés de 22, 23 et 24 ans.
Le précédent MOVEit : août 2023
Ce n'est pas la première fois que France Travail (alors encore Pôle emploi) est touché. En août 2023, le groupe cybercriminel Cl0p a exploité une faille dans le logiciel de transfert de fichiers MOVEit (CVE-2023-34362) pour accéder aux données de 10 millions de demandeurs d'emploi. Cette première fuite aurait dû servir d'avertissement.
Les données compromises : anatomie d'une catastrophe
Ce qui a été volé
France Travail a confirmé la compromission des données suivantes pour les 43 millions de personnes concernées :
| Donnée | Risque associé |
|---|---|
| Nom et prénom | Usurpation d'identité |
| Date de naissance | Vérification d'identité frauduleuse |
| Numéro de Sécurité sociale (NIR) | Usurpation administrative, fraude aux prestations |
| Identifiant France Travail | Accès frauduleux au compte |
| Adresse email | Phishing ciblé (spear phishing) |
| Adresse postale | Arnaque par courrier, cambriolage ciblé |
| Numéro de téléphone | Vishing (phishing vocal), smishing (phishing SMS) |
Pourquoi le numéro de Sécurité sociale est la donnée la plus critique
Le numéro de Sécurité sociale (NIR) est un identifiant permanent qui ne peut pas être changé, contrairement à un mot de passe ou un numéro de carte bancaire. Il est utilisé comme clé d'identification dans de nombreux systèmes : assurance maladie, retraite, impôts, banques. Un attaquant qui connaît votre NIR, votre nom et votre date de naissance peut potentiellement :
- Se faire passer pour vous auprès de l'Assurance maladie
- Ouvrir des comptes bancaires à votre nom
- Demander des prestations sociales en votre nom
- Contracter des crédits par usurpation d'identité
43 millions de Français voient leur numéro de Sécurité sociale potentiellement compromis à vie. Il n'existe pas de procédure standard en France pour changer de NIR.
Ce qui n'a PAS été volé
France Travail a indiqué que les éléments suivants n'ont pas été compromis :
- Mots de passe des espaces personnels
- Coordonnées bancaires (IBAN, RIB)
- CV et documents personnels déposés sur l'espace personnel
Les failles de sécurité : comment c'est arrivé
L'analyse de l'attaque révèle plusieurs défaillances structurelles qui ont permis la fuite.
1. Absence de double authentification (MFA)
La faille la plus critiquable. Les identifiants des conseillers Cap Emploi permettaient un accès direct au système d'information de France Travail sans vérification supplémentaire (code SMS, application d'authentification, clé physique). Un simple couple login/mot de passe suffisait.
En 2024, pour un système contenant les données de 43 millions de personnes, l'absence de MFA est une négligence grave. La MFA est recommandée par l'ANSSI dans tous ses guides de bonnes pratiques, et requise par la plupart des référentiels de sécurité (ISO 27001, SOC 2).
2. Base de données centralisée sans segmentation
Les données de tous les demandeurs d'emploi depuis 2004 (20 ans d'historique) étaient accessibles depuis un seul point d'entrée. Aucune segmentation par année, par région ou par niveau de sensibilité. Un seul accès compromis donnait accès à l'intégralité de la base.
Le principe de segmentation des données est fondamental en sécurité informatique : diviser les données en compartiments de sorte qu'une compromission d'un segment ne compromette pas l'ensemble.
3. Conservation excessive des données
Pourquoi France Travail conservait-il les données de demandeurs d'emploi inscrits il y a 20 ans ? Le RGPD impose de ne conserver les données que « pendant une durée qui n'excède pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées » (article 5). Conserver 20 ans de données de demandeurs d'emploi, dont beaucoup n'ont plus aucun lien avec France Travail, pose un problème de proportionnalité.
Si les données avaient été purgées conformément à des durées de conservation raisonnables (par exemple, 5 ans après la dernière inscription), le nombre de victimes aurait été considérablement réduit.
4. Absence de détection des comportements anormaux
Les attaquants ont eu accès aux systèmes pendant plusieurs semaines sans déclencher d'alerte. L'extraction de 43 millions de fiches génère un volume de requêtes massif qui aurait dû être détecté par un système de surveillance (SIEM, analyse comportementale). L'absence de détection suggère des lacunes dans la supervision de la sécurité.
5. Interconnexion insuffisamment sécurisée avec Cap Emploi
L'accès des partenaires externes (Cap Emploi) au système d'information de France Travail n'était pas suffisamment encadré. Les accès partenaires devraient être limités au strict nécessaire (principe du moindre privilège), avec une authentification renforcée et une surveillance dédiée.
Les conséquences pour les victimes
Risques immédiats : le phishing ciblé
Dans les semaines suivant la divulgation, une vague de tentatives de phishing ciblées a été observée :
- Emails imitant France Travail : « Suite à l'incident de sécurité, veuillez vérifier vos informations en cliquant ici »
- SMS frauduleux (smishing) : « France Travail : votre compte a été sécurisé, confirmez votre identité via ce lien »
- Appels téléphoniques (vishing) : des personnes se faisant passer pour des conseillers France Travail et connaissant le nom et le numéro de Sécurité sociale de la victime
La dangerosité de ces attaques est décuplée par le fait que les attaquants disposent de données personnelles réelles, ce qui rend les tentatives beaucoup plus crédibles qu'un phishing générique.
Risques à long terme : l'usurpation d'identité
Les données volées ne « périment » pas. Un numéro de Sécurité sociale, une date de naissance et une adresse restent valables pendant des années. Les victimes s'exposent à des risques d'usurpation d'identité qui peuvent survenir des mois, voire des années après la fuite :
- Ouverture de comptes bancaires frauduleux
- Souscription de crédits à la consommation
- Fraude aux prestations sociales
- Détournement de courrier pour récupérer des documents d'identité
Recours des victimes
Les victimes peuvent :
- Déposer plainte auprès de la police ou de la gendarmerie (en ligne via le portail dédié ou en commissariat)
- Signaler toute tentative de phishing sur la plateforme signal-spam.fr et Cybermalveillance.gouv.fr
- Surveiller leurs comptes (bancaires, Ameli, impôts) pour détecter toute activité suspecte
- Action collective : plusieurs associations de consommateurs (UFC-Que Choisir, CLCV) ont lancé des procédures
Les leçons pour les entreprises
L'affaire France Travail est un cas d'école pour toute organisation qui gère des données personnelles. Voici les enseignements concrets.
Leçon 1 : la MFA n'est pas optionnelle
Si France Travail avait imposé la double authentification sur les accès conseillers, l'attaque aurait probablement échoué. La MFA est le contrôle de sécurité au meilleur rapport coût/efficacité qui existe.
Action immédiate : activez la MFA sur tous les accès à votre système d'information, en commençant par les comptes administrateurs et les accès distants. Le coût est marginal (quelques euros par utilisateur par mois pour une solution d'authentification), le bénéfice est immense.
Leçon 2 : purgez vos données
Conserver 20 ans de données quand 5 suffisent, c'est multiplier par quatre le risque en cas de fuite. Définissez des durées de conservation conformes au RGPD et purgez régulièrement.
Leçon 3 : segmentez vos bases de données
Un seul point d'accès ne devrait jamais donner accès à l'intégralité des données. Segmentez par niveau de sensibilité, par périmètre fonctionnel, par ancienneté.
Leçon 4 : surveillez les comportements anormaux
Un système qui extrait 43 millions de fiches sans déclencher d'alerte est un système aveugle. Investissez dans la détection : SIEM, analyse comportementale (UEBA), alertes sur les volumes de requêtes inhabituels.
Leçon 5 : sécurisez les accès partenaires
Vos partenaires, prestataires et sous-traitants sont des extensions de votre surface d'attaque. Appliquez-leur les mêmes exigences de sécurité qu'à vos propres collaborateurs.
Leçon 6 : formez vos collaborateurs
Les identifiants Cap Emploi ont probablement été compromis par phishing. La formation régulière des collaborateurs est le premier rempart contre le vol d'identifiants.
Lancer des simulations de phishing avec nophi.sh - première simulation en 15 minutes.
Que fait la CNIL ?
La CNIL a ouvert une instruction dès la notification de la violation. Les points examinés portent sur :
- Le respect de l'obligation de sécurité (article 32 du RGPD)
- La proportionnalité des durées de conservation
- Les mesures d'authentification des accès
- L'encadrement des accès partenaires
- La réactivité de la notification
L'instruction est toujours en cours en avril 2026. Une sanction pourrait être prononcée si la CNIL constate des manquements caractérisés.
Et maintenant ?
La fuite France Travail est un tournant dans l'histoire de la cybersécurité française. Par son ampleur (43 millions), par la sensibilité des données (NIR), et par la simplicité de l'attaque (des identifiants volés sans MFA), elle illustre l'écart entre les enjeux de la protection des données et la réalité des pratiques.
Pour les entreprises françaises, la leçon est claire : les contrôles de base - MFA, purge, segmentation, formation - ne sont pas de la cybersécurité avancée. C'est le minimum vital. Et ce minimum n'est pas respecté par l'un des plus grands organismes publics français.
Ne faites pas la même erreur. Commencez par tester la sécurité de votre configuration email - c'est gratuit et immédiat.
Retrouvez cet incident et plus de 100 autres dans notre base de données des cyberattaques en France.