[Article publié le mardi 19 mars 2024 à 18h32 et mis à jour le mercredi 20 mars à 08h15] Du nouveau dans l'affaire de la cyberattaque massive ayant touché France Travail. Le parquet de Paris a annoncé mardi que trois personnes âgées d'une vingtaine d'années ont été mises en examen et placées en détention provisoire.

Les trois suspects, nées en novembre 2001 dans l'Yonne, en septembre 2000 et septembre 2002 dans l'Ardèche, avaient été interpellés dimanche et placés en garde à vue. Ils ont été mis en examen pour accès et maintien frauduleux dans un système de traitement automatisé de données, extraction de ces données, et escroquerie, le tout en bande organisée, a détaillé le parquet.

A l'issue de leur garde à vue, les trois suspects ont été présentés à un juge d'instruction du tribunal judiciaire de Paris qui les a mis en examen pour accès et maintien frauduleux dans un système de traitement automatisé de données, extraction de ces données et escroquerie, le tout en bande organisée, a indiqué le parquet. Ils ont été placés en détention provisoire, conformément aux réquisitions du parquet, a-t-il ajouté.

Les perquisitions menées à leur domicile et sur leur matériel informatique ont confirmé pour certains d'entre eux une activité d'escroquerie en recourant à la technique de l'hameçonnage (« phishing » en anglais).

Lire aussiLes cyberdéfenseurs augmentés par l'intelligence artificielle, déjà une réalité

Une attaque massive concernant potentiellement 43 millions de personnes

« Entre le 6 février et le 5 mars, des comptes d'agents de Cap Emploi, habilités à accéder aux ressources présentes sur le système d'information de France Travail, (ont) été utilisés pour procéder au téléchargement de données de la base des demandeurs d'emploi évaluée à 43 millions de données à caractère personnel », explique la procureure.

Mercredi 13 mars, France Travail avait alors révélé cette cyberattaque massive ayant entraîné « un risque de divulgation » de données personnelles touchant « potentiellement » 43 millions de personnes. Les données en question étaient « les suivantes: nom et prénom, date de naissance, numéro de Sécurité sociale, identifiant France Travail, adresses mail et postale et numéros de téléphone », avait-il énuméré. L'organisme avait néanmoins assuré qu'il n'existait en revanche « aucun risque sur l'indemnisation », les mots de passe et coordonnées bancaires n'étant pas concernés par ce vol.

Dans le détail, l'opérateur public (ex-Pôle emploi) indiquait dans un communiqué que « la base de données qui aurait été extraite de façon illicite conte[nait] les données personnelles d'identification des personnes actuellement inscrites, des personnes précédemment inscrites au cours des 20 dernières années ainsi que des personnes non inscrites sur la liste des demandeurs d'emploi, mais ayant un espace candidat sur francetravail.fr. » L'opération a débuté par une « usurpation d'identité de conseillers Cap emploi » (un organisme en charge de la recherche d'emploi des personnes handicapées), avait poursuivi l'opérateur, à la suite de quoi France Travail a « remarqué des requêtes suspectes ».

Les investigations ont désormais pour objectif de rechercher d'éventuels autres acteurs, selon le communiqué.

Série d'attaques d'une « intensité inédite »

Il s'agit d'une nouvelle attaque informatique dans la série, d'une « intensité inédite » selon Matignon, que subit les services de l'Etat depuis quelques jours.

« Depuis hier soir (dimanche), plusieurs services de l'Etat font l'objet d'attaques informatiques dont les modalités techniques sont classiques, mais l'intensité inédite », avaient, en effet, indiqué les services du Premier ministre le 11 mars dernier.

« Une cellule de crise a été activée dès hier soir (dimanche) pour déployer des contre-mesures », avaient-ils précisé, le lendemain de l'attaque, ajoutant qu'« à ce stade, l'impact de ces attaques a été réduit pour la plupart des services et l'accès aux sites de l'Etat rétabli ».

« Les équipes mobilisées de la DINUM (direction interministérielle du numérique) et de l'ANSSI (agence nationale de la sécurité des systèmes d'information) continuent à mettre en œuvre des mesures de filtrage jusqu'à la fin de ces attaques », avaient aussi précisé les services du Premier ministre.

Lire aussiMenaces sur le voyage d'Emmanuel Macron à Kiev

Cependant, l'attaque du 13 mars n'est « a priori pas du tout en lien » avec celle qui a ciblé plusieurs ministères depuis dimanche soir, avait précisé France Travail à l'AFP.

L'Union européenne veut riposter face aux attaques informatiques

Tous ces nouveaux incidents interviennent alors que l'Union européenne a annoncé, début mars, un renforcement de la coopération entre les pays membres et la mise en place d'un mécanisme de solidarité. Le « Cyber Solidarity Act » prévoit la création d'un système d'alerte sur l'ensemble du territoire de l'UE, afin de mieux détecter et signaler une potentielle attaque visant un ou plusieurs pays, ainsi qu'un système d'urgence combinant une assistance mutuelle et un échange d'informations.

La détection sera confiée à un réseau européen de six ou sept « cyber hubs », selon Bruxelles. Equipés de supercalculateurs et de systèmes d'intelligence artificielle, ils fonctionneront sur le modèle du système de satellites Galileo, avait indiqué la Commission européenne lors de la présentation l'an dernier de ce projet de « cyber bouclier ».

Lire aussiFace aux cyberattaques russes, l'UE lance son premier grand « bouclier cyber »

L'idée est de réduire au maximum le temps de détection d'une attaque informatique sur des infrastructures européennes (hôpitaux, réseaux énergétiques, etc.) afin de mieux la contrer. Mais aussi d'aider un pays membre attaqué via un mécanisme de solidarité. Il s'écoule en moyenne 190 jours entre le début de la diffusion d'un malware, logiciel malveillant, et le moment où on le détecte, avait relevé en avril la Commission.

(Avec AFP)