Hackeo de France Travail: los orígenes del mal

El 13 de marzo, France Travail reveló que había sido víctima de un ciberataque, exponiendo datos personales (apellidos, nombre, fecha de nacimiento, número de la seguridad social, identificador de France Travail, direcciones postales y de correo electrónico, así como números de teléfono) de no menos de 43 millones de personas. Es decir, las personas que actualmente buscan trabajo, las registradas en los últimos 20 años e incluso las que simplemente han creado un espacio de candidatos en francetravail.fr. Resultado de una intrusión en los sistemas de información del operador que duró del 6 de febrero al 5 de marzo de 2024. Unos días después, la investigación dirigida por la fiscalía de París condujo a la detención de tres personas de unos veinte años, acusadas de haber entrado en el sistemas de France Travail a través de la apropiación indebida de cuentas de Cap Emploi, una red de organizaciones de empleo dedicadas a apoyar a las personas con discapacidad. Después de recuperar las cuentas legítimas de los usuarios de Cap Emploi, los piratas informáticos simplemente se pusieron en contacto con el soporte para solicitar un restablecimiento de los códigos de acceso. Con éxito.

Un simple examen de los hechos plantea varias preguntas. En primer lugar, e incluso si, según Next, el robo de datos se limitaría a entre 1 y 1,5 millones de cuentas, ya que los piratas informáticos habrían apuntado a los datos en lugar de exfiltrarlos en masa, el alcance de la información expuesta plantea interrogantes. ¿Por qué France Travail conserva los datos de los solicitantes de empleo durante 20 años? Sencillamente, porque es la ley, el código del trabajo que indica: “Los datos personales y la información registrada en el sistema de información se conservan por un período máximo de veinte años desde el cese de la inscripción en la lista de demandantes de empleo. » Queda por entender por qué se podía acceder a un conjunto tan imponente de datos personales mediante una técnica tan básica como el secuestro de cuentas, un método accesible a delincuentes menores o incluso a simples aficionados.

Sin segmentación de datos

En primer lugar, el acceso ilegítimo no implica la apropiación indebida de las cuentas de usuario de Pôle Emploi, sino de las de un socio. En otras palabras, los usuarios externos a la organización tuvieron acceso a un conjunto de datos personales relativos a todos los solicitantes o registrados durante 20 años. Una enormidad que tiene su origen en la ley Plein Emploi, del 18 de diciembre de 2023, que establece el nacimiento de la red France Travail, que implica un trabajo más colegiado por parte del antiguo Pôle Emploi y de un cierto número de socios externos. Esta creación de redes exige “compartir los datos necesarios para el seguimiento de los viajes individuales y proporcionar indicadores de seguimiento, gestión y evaluación, [ainsi que] la obligación de garantizar la interoperabilidad de los sistemas de información con los servicios digitales comunes desarrollados por el operador France Travail", como señaló el Consejo de Estado, desde junio de 2023, antes de la presentación de la ley a la Asamblea.

En el antiguo Pôle Emploi, los sindicatos señalan ahora las deficiencias de esta red en términos de ciberseguridad. "Gracias a la ley Plein Emploi, los socios ahora tienen autorización para acceder a los datos de Pôle Emploi, aunque su compartimentación no podía realizarse antes de esta apertura a los socios", afirma Catherine Laumont, secretaria nacional del CFDT PSTE (Protección social, trabajo y empleo). Bajo la presión de los resultados, el departamento informático de Pôle Emploi tuvo que establecer autorizaciones de acceso al sistema de información, en primer lugar para Cap Emploi. Una apertura que mañana deberá ampliarse a las Misiones locales y a los operadores de colocación privados. Por lo tanto, la exfiltración de datos revelada el 13 de marzo se debe, ante todo, a un problema de gobernanza de datos. »

Alertas ignoradas según la CGT

En un correo electrónico tras una reunión del CSE del 28 de marzo, la sección CGT de France Travail DSI también destaca las deficiencias en la implementación operativa de la reforma: “este ataque resulta de la supuesta elección de la dirección del DSI por no implementar el recomendaciones de seguridad necesarias para abrir nuestro IS a los socios de France Travail”, critica el sindicato. Y este último indicó que, no obstante, el riesgo vinculado a esta red se había identificado en 2022 y que luego se había recomendado la implementación de la autenticación multifactor. Sólo que, como señala la CGT de France Travail DSI, esta medida no se puso en práctica cuando se inauguró el sistema de información del antiguo Pôle Emploi en Cap Emploi. “¡Fue necesario un ataque a una escala sin precedentes para implementarlo para los empleados de Cap Emploi en sólo 1 o 2 semanas! », escribe el sindicato. Un despliegue de emergencia en forma de confesión.

De paso, el modus operandi Del ataque y del comunicado de prensa que lo oficializa parecen demostrar que los usuarios de Cap Emploi se beneficiaron de los mismos derechos que los de Pôle Emploi. “Los empleados de Cap Emploi tienen autorizaciones de acceso ilimitadas”, escribe la CGT en su correo electrónico interno del 2 de abril. Y también para subrayar que los proveedores de servicios que trabajan para el departamento de TI, in situ o a distancia, “tienen los mismos derechos que los pasantes, ya sea en el calificación o entorno de producción de las TI”. Por tanto, el sindicato exige a la dirección de France Travail el despliegue de la autenticación multifactor para "todos los socios y empleados", así como la aplicación estricta del "principio de privilegio mínimo". Una buena práctica en materia de ciberseguridad que consiste en conceder a los usuarios únicamente los derechos de acceso estrictamente necesarios para llevar a cabo sus tareas (observación que también se aplica a los usuarios internos de France Travail).

Un proceso legislativo que ignora el riesgo cibernético

Durante el proceso legislativo, este riesgo intrínsecamente vinculado a la conexión de los usuarios externos a los principales sistemas de información del antiguo Pôle Emploi sólo se destacó débilmente. El estudio de impacto, del que sin embargo forma parte, destaca los límites creados por "la ausencia de interconexión de los sistemas de información y la falta de intercambio de datos" para la eficacia de las políticas públicas de reincorporación al trabajo. Pero sin considerar los riesgos que plantea esta puesta en común. Y esto, mientras que la apertura en cuestión debería referirse a “los servicios estatales, las autoridades locales, el operador France Travail y los dos operadores Missions locales y Cap emploi especializados respectivamente en el apoyo a los jóvenes y a las personas con discapacidad” y se extiende a los datos personales de solicitantes “necesarios para el seguimiento de cursos”. Durante los debates parlamentarios, el ex ministro de Trabajo, Olivier Dussopt, también se esforzará en defender el principio de "sistemas de información lo más abiertos posible", ignorando al mismo tiempo los riesgos asociados.

Sin embargo, la cuestión se planteará indirectamente con la remisión al Consejo Constitucional por parte de 60 diputados, con fecha del 16 de noviembre. " Disposiciones [...] introducido por el artículo 4 [prévoyant le déploiement du réseau de partenaires dont l'ouverture des SI, NDLR] establecer el intercambio automático de datos entre actores públicos y actores privados (delegados de una misión de servicio público), sin restricción ni precisión en la protección de datos, lo que conduce a una falta de comprensión del derecho al respeto de la vida privada, con valor constitucional. » La ley de Pleno Empleo también fue parcialmente censurada el 14 de diciembre de 2023 por el Consejo Constitucional, incluidas determinadas disposiciones de este artículo 4 debido a un “ataque desproporcionado al derecho al respeto de la vida privada”. Sino esencialmente validando el principio de abrir sistemas de información y compartir datos (ver la ley final). Con las consecuencias que conocemos menos de un cuarto después.

Nos pusimos en contacto con France Travail y el Ministerio de Trabajo sobre los puntos planteados en este artículo. Ninguno de ellos quiso responder a nuestras preguntas.