Pôle emploi ouvre une enquête après la vente d'une base de données personnelles

"Je vends une base de données liée au site français de recherche d'emploi pole-emploi.fr". Comme l'ont partagé plusieurs internautes, dont le journaliste d'investigation Olivier Laurelli (alias Bluetouff), un large fichier a été mis en vente sur un forum dédié aux hackers ce 10 juin.

Parmi les informations évoquées par le vendeur figurent les nom, prénom, âge, mais aussi le numéro de téléphone, l'adresse mail, le code postal, le niveau d'études ou encore la possession d'un permis de conduire des victimes. Au total, le fichier contiendrait 1,2 million d'informations liées à des profils de demandeurs d'emploi.

Pôle Emploi enquête mais ne commente pas

Contacté par BFMTV, Pôle emploi annonce avoir ouvert une enquête interne sur le sujet, refusant toutefois de confirmer l'existence ou l'ampleur de cette fuite de données. L'établissement public n'a pas non plus précisé si de potentielles victimes seraient alertées.

"Il y a de bonnes raisons de croire à l'existence de ce fichier, d'abord en raison de la façon dont les données sont structurées, mais aussi en raison du profil du vendeur, qui est bien établi sur le forum en question et qui n'en est probablement pas à son coup d'essai" explique Olivier Laurelli, spécialiste sécurité chez Bearstech et journaliste chez reflets.info, auprès de BFMTV.

Le spécialiste précise que l'annonce a désormais disparu du forum, probablement en raison d'une vente de cette base de données et d'une promesse d'exclusivité pour l'acheteur. D'après le journaliste Maxime Reynié, la base était en vente pour 1000 dollars, soit un peu plus de 820 euros.

Le forum de hackers proposant la base de données de Pôle emploi a récemment abrité un immense fichier regroupant les numéros de téléphone de quelque 20 millions d'utililisateurs français de Facebook, après une faille de sécurité touchant le réseau social américain.

Un accès trop laxiste aux CV?

Pour l'heure, il est impossible d'affirmer si cette base de données fait suite à un piratage de Pôle emploi ou à d'autres méthodes, comme de l'"aspiration" de données. Un scénario plausible, à la lumière de failles de fonctionnement mises en lumière par le site Numerama.

Dans une enquête publiée fin 2020, le média spécialisé avait évoqué la facilité avec laquelle il était possible de créer un compte employeur sur le site de Pôle emploi, et d'accéder sans contrôle à une large quantité de CV de demandeurs d'emploi.

Autant de documents qui abritent des données de la même nature que celles qui sont évoquées par le vendeur de la base mise en ligne ce 10 juin.

Pour les potentielles victimes, le principal risque est de faire face à des tentatives d'arnaque liées à leur recherche d'emploi, en permettant à des escrocs en ligne d'envoyer des mails ou SMS tirant profit de ces informations pour les mettre en confiance.