PARIS: En France, les données personnelles d'une dizaine de millions de demandeurs d'emploi compilées par un prestataire de l'agence publique Pôle Emploi, objet d'une fuite révélée cette semaine, sont en vente illégale sur le web, ont confirmé à l'AFP plusieurs experts vendredi.
"Des données de Pôle Emploi sont en vente sur le +darknet+. Un pirate très connu, spécialiste de vente de bases de données qu’il pirate ou achète, a mis en vente le 8 août une base de données de Pôle Emploi datée de 2022, de 10,2 millions d’usagers, qu’il vend 900 dollars", a déclaré à l'AFP, Damien Bancal du site Zataz.com, un des meilleurs experts en signalement de vols de données.
L'expert en cybersécurité Clément Domingo, alias @_SaxX_ sur X (anciennement Twitter) signale également la vente de ces données pour 900 dollars sur un forum de hackers.
Selon M. Domingo le fichier comporte bien 10,2 millions de noms. "Il y a eu une première diffusion sur ce forum de cybercriminels. Le 8 août on trouvait une première base de données, elle a été mise à jour avec beaucoup plus d’infos le 21", a-t-il complété.
Pôle Emploi, l'établissement public chargé de l'emploi en France, avait appelé mercredi les demandeurs d'emploi à la vigilance, après "un acte de cyber-malveillance" envers l'un de ses prestataires, la société Majorel.
Une enquête a été ouverte par le parquet de Paris pour introduction et maintien frauduleux dans un système de traitement automatisé de données.
Selon Pôle Emploi, cette fuite de données concernait "les personnes inscrites en février 2022 et les personnes en cessation d’inscription depuis moins de 12 mois soit potentiellement 10 millions de personnes".
Dans son communiqué, l'organisme public évoquait la possibilité que les noms et prénoms, statut actuel ou ancien de demandeur d'emploi, numéro de sécurité sociale (ou NIR) soient mis en ligne, excluant que les adresses e-mail, numéros de téléphone, mots de passe et coordonnées bancaires soient concernés.
"Le fichier datant de février 2022 que nous avons pu identifier et qui nous a permis de remonter au prestataire victime de cet acte de cybermalveillance contient le nom, le prénom, et le NIR. Aucune autre information sensible (mail, téléphone ou coordonnées bancaires) ne figure dans ce fichier. Notre prestataire ne dispose d’ailleurs pas de ces informations", a souligné vendredi la direction générale de Pôle Emploi sollicitée par l'AFP.
Pôle Emploi conteste en outre que d'autres informations aient pu être divulguées comme l'affirmait l'un des experts.
"Les données auxquelles fait référence cet interlocuteur proviennent d’un fichier volé datant de 2021 qui avait fait l’objet d’une déclaration à la Cnil de la part de Pôle emploi et d’une communication auprès de nos usagers. Ce fichier contenait des données concernant notamment les nom, prénom et coordonnées de contact mais aucune information bancaire", a souligné l'organisme.