France Travail a subi une nouvelle attaque à la fin de l’année 2025, entraînant la fuite et la compromission des données d’environ un million six cent mille jeunes suivis par les missions locales.
Quel acteur ?
À ce jour, aucun groupe n’a revendiqué l’attaque. Il s’agirait de la compromission du compte d’un employé, ce qui ne permet pas d’identifier précisément le ou les auteurs de l’attaque.
Sur certains sites spécialisés ou forums de cybercriminalité, des allégations circulent selon lesquelles un groupe connu sous le nom de Stormous aurait revendiqué ou prétendument publié des données liées à France Travail. Cependant, ces revendications ne sont pas confirmées par les autorités ni corroborées par des éléments techniques publics.
Quelle type d’attaque ?
D’après le rapport d’investigation, l’attaque résulte de la compromission du compte d’un agent responsable de la gestion des comptes au sein d’une mission locale. Aucune information ne permet à ce stade de déterminer le mode de compromission du compte. Toutefois, plusieurs hypothèses peuvent être envisagées, telles qu’une attaque par phishing, l’utilisation d’un mot de passe déjà compromis, l’installation d’un keylogger ou d’autres techniques similaires.
En utilisant le compte de l’agent, l’attaquant a pu créer deux nouveaux comptes via le service ProConnect, lui donnant ensuite accès aux outils métier permettant la consultation des dossiers des jeunes accompagnés. Ce compte disposait également de droits légitimes sur certaines bases de données. Ce type d’attaque est particulièrement difficile à détecter, car les actions réalisées proviennent d’un compte considéré comme légitime et se comportant comme un compte normal.
Les données d’environ un million six cent mille jeunes se trouvent entre les mains d’un attaquant et sont susceptibles d’être divulguées. Ces données comprennent notamment : le nom, le prénom, la date de naissance, le numéro de Sécurité sociale, l’identifiant France Travail, l’adresse électronique et postale, ainsi que le numéro de téléphone.
Quelle réaction de la part de France travail
- Notification aux autorités compétentes (ANSSI, CNIL)
- Suspension des comptes compromis et renforcement des mesures de sécurité
- Appels à la vigilance des utilisateurs pour éviter les pièges (ne pas répondre à des e-mails ou SMS suspects, ne jamais communiquer de mots de passe ou infos bancaires).
Conclusion
Cette attaque met une fois de plus en lumière les difficultés rencontrées par les agences nationales françaises pour sécuriser leurs données. Elle souligne également la complexité de détecter ce type d’attaque, qui exploite le facteur humain tout en restant longtemps indétectable.