Fin octobre 2025, France Travail a été touchée par une nouvelle offensive. D’après divers médias, le collectif de hackers Stormous a déclaré avoir dérobé et diffusé près de 30 Go d’informations, touchant approximativement 31 000 personnes à la recherche d’un emploi. L’incident semblerait avoir son origine dans le vol d’identifiants via des infostealers, ces malwares qui collectent les mots de passe stockés. Suite à l’importante fuite de 2024 et à l’incident du portail entreprises durant l’été 2025, France Travail se trouve une fois de plus confrontée à une crise de confiance. Qui est véritablement impliqué ? Quels sont les données qui ont été exposées ?
Chronologie de l’attaque contre France Travail
31 octobre – 2 novembre 2025 : revendication de Stormous & premières confirmations France Travail
Le 31 octobre 2025, le collectif Stormous diffuse un communiqué sur leur chaîne Telegram, revendiquant une attaque ciblant France Travail. Selon les hackers, ils ont réussi à extraire près de 30 Go de données renfermant des informations personnelles relatives aux candidats à l’emploi et aux partenaires institutionnels. À partir du 1er novembre, plusieurs organes de presse français spécialisés (ZDNet, LeMagIT, Journal du Geek, RTL) rapportent la revendication, accompagnée de photos d’échantillons de données. France Travail signale un incident de sécurité, en cours d’examen, le 2 novembre, sans toutefois préciser la quantité exacte de données dérobées. L’institution publique a annoncé qu’elle travaillera conjointement avec l’ANSSI, la Police judiciaire et la CNIL pour mesurer l’étendue de la fuite.
Ce que l’on sait aujourd’hui, selon France Travail, des identifiants de connexion de personnes à la recherche d’emploi auraient été piratés par le biais de logiciels malveillants « infostealers » installés sur des ordinateurs personnels, puis employés pour se connecter à de véritables comptes. Les premières investigations internes n’indiquent pas de compromission directe des systèmes principaux, mais une utilisation indirecte de comptes d’utilisateurs authentiques. L’entité n’a pas encore fourni d’estimation officielle concernant le nombre précis de personnes affectées, cependant, divers médias parlent d’environ 31 000 comptes impliqués. Selon les premières informations, les données présumées compromises comprendraient des identités, des adresses électroniques, des numéros de téléphone et des renseignements sur les profils professionnels, mais pas d’informations bancaires.
En mars 2024, une cyberattaque à grande échelle avait déjà mis en péril les bases de données de France Travail et Cap Emploi, exposant potentiellement jusqu’à 43 millions d’individus (inscrits actuels ou anciens). Cet incident était le résultat d’une intrusion directe dans les systèmes, suivie d’une fuite organisée de données. Un autre incident mineur a eu lieu en août 2025, affectant le portail des entreprises, avec la divulgation des informations professionnelles (nom, courriel, numéro de téléphone) des recruteurs et associés. L’événement d’octobre 2025 se démarque par sa méthode d’exécution : il ne représente pas une violation interne, mais une utilisation d’identifiants dérobés externes, mettant en évidence la vulnérabilité séquentielle associée à l’utilisation personnelle.
Dans tous les scénarios, la communication officielle fait preuve de prudence, mettant l’accent sur une transparence graduelle et la collaboration avec les autorités en matière de cybersécurité. Ces répétitions mettent en évidence la pression incessante sur les institutions publiques françaises et l’importance d’un éveil accru à la cybersécurité, aussi bien pour les employés que pour les utilisateurs.
Comment l’attaque aurait fonctionné ?
Déjà il faut comprendre ce qu’est un infostealer. Un infostealer, qui peut être traduit littéralement par « voleur d’informations », est un logiciel malveillant conçu pour dérober des identifiants et des données sensibles présentes sur un ordinateur. Après son installation, généralement suite à l’installation d’un logiciel frauduleux, d’un crack, ou par le biais d’une pièce jointe compromettante, il accède automatiquement aux mots de passe stockés dans les navigateurs, aux cookies de session, aux tokens d’authentification et parfois même aux portefeuilles virtuels.
Ces données sont par la suite transmises à des serveurs et ultérieurement commercialisées sur des marchés noirs. Plusieurs sources en cybersécurité signalent que des identifiants de France Travail ont été trouvés dans ces bases de données, puis réutilisés pour se connecter à de véritables comptes.
Le scénario envisagé est le suivant :
- Un demandeur d’emploi est infecté par un infostealer sur son ordinateur personnel (souvent non protégé, avec navigateur et mots de passe enregistrés).
- Le malware exfiltre les identifiants du compte France Travail stockés localement.
- Ces identifiants sont revendus ou partagés sur un marché noir.
- Le groupe Stormous réutilisent ces informations pour se connecter à plusieurs comptes réels sur la plateforme France Travail.
- Une fois à l’intérieur, ils extraient des données personnelles (profils, coordonnées, historiques, documents joints) puis regroupent le tout.
Ce type d’attaque est redoutable car il n’exploite pas une faille technique du site, mais une faiblesse du comportement utilisateur. Les systèmes internes de France Travail n’auraient donc pas été « piratés » à proprement parler, mais abusés via des accès légitimes compromis en amont. C’est la beauté de cette attaque présumée. Ceux qui auront suivis des bonnes pratiques comme du 2FA, pas d’enregistrement de mot de passe dans un navigateur sont normalement protégés de cette attaque. Comme quoi, il suffit de pas grand chose pour être sécurisé dans ce cas !
Quelles données et qui est concerné ?
Dans sa revendication, le groupe Stormous affirme avoir volé près de 30 Go de données issues des serveurs de France Travail, incluant :
- des informations personnelles (noms, prénoms, adresses mail, numéros de téléphone) ;
- des identifiants de connexion
- et, selon leurs dires, des documents internes et profils d’utilisateurs.
Quelques organes de presse ont examiné des extraits de documents mis en ligne, attestant l’existence d’informations authentiques sur des demandeurs d’emploi, cependant sans preuve tangible d’une intrusion à grande échelle dans les systèmes centraux. Les spécialistes soulignent que les groupes de pirates ont souvent tendance à surestimer leurs réussites pour accroître leur notoriété.
France Travail a emboîté le pas d’une transparence graduelle, aspirant à communiquer sans hâte pour éviter de nourrir la désinformation. Peu après la déclaration de Stormous, l’établissement a annoncé qu’une analyse d’un incident de sécurité était en cours et qu’une coopération intensive avec l’ANSSI, la CNIL et la Police judiciaire avait été instaurée. Sur son site web, la section « Soyez vigilants » a été actualisée pour rappeler les dangers de la fraude par hameçonnage et fournir les procédures à suivre si vous avez des doutes. France Travail souligne qu’à ce jour, aucune compromission de ses infrastructures centrales n’a été démontrée, l’origine paraissant être une réutilisation d’identifiants dérobés. Ils ont reconnu un incident de sécurité impliquant des identifiants compromis, sans confirmer pour l’instant le nombre exact de comptes concernés (la presse parle de 31 000 environ) n’y la nature des données exfiltrées donc affaire à suivre. L’établissement public a toutefois déployé des mesures de précaution :
- surveillance renforcée de son infrastructure
- réinitialisation préventive de mots de passe
- notification des usagers potentiellement concernés
- collaboration active avec l’ANSSI, la CNIL et les services de police spécialisés.
Grâce à la RGPD, toute entité manipulant des données personnelles est tenue d’informer la CNIL en cas de violation de données dans les plus brefs délais, soit dans un délai maximal de 72 heures suite à une prise de connaissance de l’incident, sauf si cette fuite est considérée comme n’ayant aucun risque pour les individus concernés. Si la violation a le potentiel de causer un risque élevé pour les droits et libertés des individus, celui qui gère les données est aussi tenu de communiquer directement avec les personnes affectées. France Travail s’est ainsi engagé à informer individuellement les utilisateurs concernés dès qu’une identification des comptes affectés sera possible suite aux investigations. L’institution propose aussi un soutien spécifique : aide par le biais du service à la clientèle, manuel pratique de cybersécurité, et accès aux ressources de la CNIL et de cybermalveillance.gouv.fr. Cette démarche s’inscrit dans un objectif de responsabilité conjointe : l’institution améliore ses mécanismes internes, tandis que les utilisateurs sont encouragés à développer de bonnes habitudes numériques pour assurer leur protection sur le long terme.
Cette attaque informatique visant France Travail met en évidence l’importance de la sécurité numérique tant du point de vue des systèmes que des pratiques. Ce n’est pas une vulnérabilité technique que les hackers ont exploitée (en tout cas pas sur le système de France Travail), mais plutôt l’insouciance liée à des identifiants dérobés sur des ordinateurs personnels. Cet événement souligne que la vigilance personnelle constitue le premier rempart collectif. France Travail, soutenu par la CNIL et l’ANSSI, œuvre pour minimiser l’impact et améliorer la sécurité de ses utilisateurs. Cependant, il est également essentiel que chaque personne adopte les bonnes pratiques : utilisation de mots de passe uniques, authentification à double facteur et mises à jour fréquentes. Cette attaque, loin d’être un simple incident isolé, souligne l’importance d’une culture commune de la cybersécurité !!
Si l’article vous a plu et si vous aimez mon travail, vous pouvez faire un don en suivant ce lien :
