Mais qui est ce pirate ?
Le groupe Clop qui a mis à mal le prestataire de services de données externe Majorel, il y a plusieurs semaines, via la faille MOVEit ? La banque ING, par exemple, avait alerté le passage des pirates chez son prestataire Majorel. Même alerte pour Deutsche Bank et Commerzbank. ClOp s’était invité via la faille MOVEIt pour mettre la main sur des données que les banques avaient transmises à Majorel. Cela pourrait être logique, Pôle Emploi parlant d’une infiltration datant de la semaine du 17 août. [les infiltrations de Cl0P ne cessent d’être révélées par les pirates eux-mêmes depuis des semaines.]
Le pirate diffuse aussi la géolocalisation (sous forme de Longitude/Latitude) des personnes présentes dans l’un des fichiers volé.
Ou alors, il s’agit d’un autre pirate que ZATAZ a croisé, début août, sur plusieurs blackmarket.
Rien qu’une tarte !
Ce pirate, un commerçant malveillant que je baptiserai « Rien qu’une tarte » [PieWithNothing]. Un spécialiste malveillant très connu dans la vente de base de données. Il officiait déjà dans différents forums pirates, dont certains fermés par les autorités tels que Raid Forum ou encore Breached.
Le 8 août 2023, soit une semaine avant la cyber attaque annoncée par Pôle Emploi, Tarte commercialisait pour 900$ deux fichiers Pôle Emploi. Le premier de 1,2 million de personnes (2021). Le second, 10,2 millions d’enregistrements datant de 2022. Le pirate parle de données comprenant : nom complet, âge, téléphone portable, e-mail, commune, code postal, NIR, RCI, niveau de formation, expérience, permis de conduire, disponibilité d’une voiture, emploi souhaité, géolocalisation, Date. Soit 11,4 millions de données. Il n’y a pas de numéro de sécurité sociale dans cette seconde fuite (2022), mais les téléphones, les adresses électroniques, Etc. Les NIR sont dans la première base de données (2021).
Et ce n’est pas une nouveauté ! Le même pirate avait diffusé, en 2021, sur le site Raid Forum, une base de données de 1,2 million de personnes provenant déjà de Pôle Emploi. A l’époque, il vendait cette BDD 1 200$. Il s’agit de la première BDD de la vente d’août 2023.
Pôle emploi a tenu à souligner qu’il n’y avait « aucun risque sur l’indemnisation et l’accompagnement proposé » et que l’accès à l’espace personnel sur le site « pole-emploi.fr » restait sécurisé. Malgré cela, l’organisme a recommandé aux demandeurs d’emploi de se montrer vigilants face à toute démarche ou proposition pouvant sembler frauduleuse. Un support téléphonique sera mis à disposition via la plateforme téléphonique 39 49 pour accompagner les demandeurs d’emploi ayant des questions relatives à cette situation.
Parmi les démarches malveillantes envisageables, ZATAZ n’en citera que deux : faux contrat de travail pour des missions de réception de chèques ou de produits volés ; infiltration d’ordinateur via des fichiers communiqués dans un courriel aux couleurs de Pôle Emploi, Etc.