Trois personnes interpellées dimanche dans l'enquête sur la cyberattaque contre France Travail (ex-Pôle Emploi), qui a entraîné "un risque de divulgation" de données personnelles touchant "potentiellement" 43 millions de personnes, ont été mises en examen et incarcérées mardi. Ces trois suspects âgés d'une vingtaine d'années, nés en novembre 2001 dans l'Yonne, et en septembre 2000 et septembre 2002 dans l'Ardèche, ont été arrêtés dimanche, a annoncé la procureure de Paris, Laure Beccuau, dans un communiqué.
Une information judiciaire ouverte
La section en charge de la lutte contre la cybercriminalité du parquet de Paris, qui menait jusqu'à présent les investigations dans le cadre d'une enquête préliminaire, a ouvert mardi une information judiciaire pour accès et maintien frauduleux dans un système de traitement automatisé de données, extraction de ces données, escroquerie et blanchiment, le tout en bande organisée. Les trois suspects doivent désormais être présentés à un juge d'instruction du tribunal judiciaire de Paris en vue de leur mise en examen. Le parquet requiert leur placement en détention provisoire.
>> LIRE AUSSI - «Ma grand-mère pourrait le faire», comment des pirates informatiques ont réussi à attaquer certains ministères français
Selon le communiqué, les perquisitions menées à leur domicile et sur leur matériel informatique ont confirmé pour certains d'entre eux une activité d'escroquerie en recourant à la technique de l'hameçonnage ("phishing" en anglais). Les investigations ont désormais pour objectif de rechercher d'éventuels autres acteurs.
"43 millions de données"
"Entre le 6 février et le 5 mars, des comptes d'agents de Cap Emploi, habilités à accéder aux ressources présentes sur le système d'information de France Travail, (ont) été utilisés pour procéder au téléchargement de données de la base des demandeurs d'emplois évaluée à 43 millions de données à caractère personnel", a expliqué la magistrate. Selon cybermalveillance.gouv.fr, dispositif national d'aides aux victimes de cybermalveillance, l'attaque a été détectée par la suite par France Travail. L'opérateur public a alors déposé plainte auprès des autorités judiciaires.
Le 13 mars, en révélant avoir été la cible de pirates informatiques, France Travail avait indiqué que les données personnelles d'identification exposées étaient "les suivantes: nom et prénom, date de naissance, numéro de Sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone".
>> LIRE AUSSI - Cyberattaques contre l'État : qui est Anonymous Sudan, le collectif de cybercriminels qui fait parler de lui ?
L'organisme avait assuré qu'il n'existait en revanche "aucun risque sur l'indemnisation", les mots de passe et coordonnées bancaires n'étant pas concernés par ce vol. Il avait indiqué qu'il comptait informer les demandeurs d'emploi identifiés comme potentiellement victimes "via leur espace personnel ou par mail" et qu'"un dispositif d'information dédié" serait également disponible "via la plateforme téléphonique 3949 afin d'accompagner tous ceux qui en auraient besoin".
La Cnil avait fourni "des conseils pour se protéger"
Dans un communiqué publié le même jour, la Commission nationale de l'informatique et des libertés (Cnil) avait fourni "des conseils pour se protéger". L'organisme préconisait notamment "d'être particulièrement vigilant par rapport aux messages (SMS, mails)" reçus, notamment s'ils invitent "à effectuer une action en urgence, telle qu'un paiement", s'assurer d'avoir des mots de passe "suffisamment robustes" ou encore de vérifier "périodiquement les activités et mouvements" sur ses différents comptes.
"Bien que, selon les informations dont la Cnil a actuellement connaissance, la fuite de données ne concernerait ni les mots de passe, ni des coordonnées bancaires, il est possible que les données ayant fait l'objet de la violation soient couplées, par des acteurs malveillants, à d'autres informations provenant de fuites de données antérieures", avait prévenu l'organisme, appelant à la "vigilance".