Une revendication d’une ampleur exceptionnelle a été publiée sur un forum cybercriminel. Les auteurs, se présentant sous les pseudonymes misere et ChimeraZ, affirment avoir compromis l’infrastructure de l’entreprise française AKAOLIFE, éditrice de plusieurs solutions RH utilisées notamment par France Travail Île-de-France. Les cybercriminels revendiquent l’exfiltration d’environ 14,4 millions d’enregistrements, représentant plus de 21 Go de données, ainsi que le vol de bases SQL complètes, du code source des applications et de nombreuses informations hautement sensibles.
À ce stade, ces éléments proviennent uniquement de la revendication publiée par les attaquants. L’ampleur exacte de la compromission ainsi que les volumes réellement concernés n’ont pas été confirmés de manière indépendante.
Un prestataire au cœur des ressources humaines de France Travail
AKAOLIFE développe plusieurs applications dédiées à la gestion des ressources humaines, de la mobilité interne, de la médecine du travail, de la gestion documentaire et de différents processus administratifs utilisés par France Travail (anciennement Pôle emploi), en particulier en Île-de-France.
Les pirates indiquent avoir compromis un serveur hébergeant huit applications métiers, dont fildirect-rh.net, suivi-sante.net, mouv-e.net, gedeo.net ou encore plusieurs portails internes liés aux ressources humaines.
Des données RH, médicales et administratives particulièrement sensibles
D’après la revendication, les données récupérées couvriraient pratiquement l’ensemble des traitements RH opérés par ces plateformes.
- 966 816 dossiers RH contenant notamment identité, adresse, carrière, affectation, grade et numéro de sécurité sociale (NIR).
- 26 684 mots de passe stockés en clair associés à des comptes
@pole-emploi.frou@francetravail.fr. - 1 003 047 candidatures de mobilité interne, comprenant parfois des informations relatives au handicap.
- 38 138 dossiers de médecine du travail couvrant la période 1991 à 2036.
- 3 747 dossiers liés au handicap.
- Plusieurs millions d’enregistrements complémentaires issus des outils de gestion documentaire, d’analytique RH, de gestion commerciale et d’administration.
Les attaquants affirment également avoir récupéré près de 60 Go de sauvegardes SQL, plus de 10 000 fichiers du code source, les clés privées SSL de plusieurs domaines, des identifiants Windows ainsi que différents coffres de mots de passe présents sur le serveur.
Une infrastructure présentée comme gravement vulnérable
La revendication décrit une chaîne de compromission particulièrement inquiétante. Les cybercriminels affirment avoir découvert un serveur Windows n’ayant plus reçu de correctifs de sécurité depuis plusieurs années, hébergeant simultanément plusieurs applications PHP et près de quarante bases de données.
Selon leur récit, plusieurs faiblesses auraient facilité l’intrusion :
- un serveur phpMyAdmin 4.8.3 vulnérable à une faille connue ;
- des répertoires web entièrement indexables depuis Internet ;
- un mot de passe MySQL administrateur identique sur l’ensemble des applications ;
- des mots de passe stockés en clair dans plusieurs fichiers de configuration ;
- des clés SSL privées accessibles directement sur le serveur ;
- des sauvegardes SQL et le code source accessibles après compromission.
Les auteurs vont jusqu’à affirmer avoir supprimé les sauvegardes présentes sur le serveur ainsi que le code source avant de quitter l’infrastructure. Cette affirmation ne peut toutefois pas être vérifiée de manière indépendante.
Des informations médicales particulièrement sensibles
Parmi les éléments les plus préoccupants figurent les données relevant des catégories particulières prévues par l’article 9 du RGPD. Les cybercriminels revendiquent notamment la présence de dossiers de médecine du travail, d’informations relatives au handicap, de résultats de visites médicales ainsi que de différents traitements administratifs associés aux ressources humaines.
Si ces affirmations étaient confirmées, il s’agirait d’informations bénéficiant d’un niveau de protection particulièrement élevé en raison de leur caractère médical.
Une demande de rançon accompagnée d’une menace de publication
En plus de diffuser gratuitement une partie des données, les auteurs réclament également une rançon d’environ 1 000 dollars en Monero en échange des sauvegardes complètes, du code source, des clés cryptographiques et d’autres éléments internes qu’ils affirment détenir encore.
Ils indiquent également qu’en l’absence d’accord, les sauvegardes SQL complètes ainsi que différents secrets techniques seraient publiés à l’issue d’un délai de sept jours.
Quels risques pour les personnes concernées ?
Si la revendication reflète fidèlement la réalité de la compromission, les conséquences pourraient être particulièrement importantes. Les informations revendiquées permettraient potentiellement d’identifier des agents, leurs coordonnées, leur carrière, certaines situations médicales, leurs candidatures internes ainsi que des numéros de sécurité sociale présents dans différents traitements administratifs.
La présence revendiquée de mots de passe stockés en clair pourrait également faciliter d’autres compromissions si ces identifiants étaient réutilisés sur d’autres services.
Une revendication parmi les plus importantes de l’année
Par le volume annoncé, la nature des données revendiquées et les systèmes concernés, cette publication figure parmi les revendications les plus importantes observées cette année concernant un prestataire travaillant avec une administration française. Les affirmations des attaquants décrivent une compromission touchant simultanément les ressources humaines, la mobilité interne, la médecine du travail et plusieurs outils internes associés à France Travail.
À ce stade, l’ensemble de ces informations repose sur les déclarations publiées par les auteurs de la revendication. L’étendue exacte de la compromission ainsi que le contenu réel des données restent à confirmer par les organisations concernées.