Des milliers de mails frauduleux ont été envoyés à des recruteurs depuis l’espace candidature de Pôle emploi. Les pirates cherchent à dérober des informations personnelles auprès de leurs victimes.

L’inventivité des hackers ne connait aucune limite. Depuis le mois d’août, des pirates informatiques mènent une campagne de récupération de données depuis Pôle emploi. Cette opération a été révélée par Vade, une entreprise spécialisée dans la cybersécurité, le 2 septembre. Ses experts ont analysé des documents envoyés depuis l’espace candidature du site.

Plutôt que d’envoyer des mails d’hameçonnage ordinaires en espérant qu’un salarié inattentif tombe dans le piège, le malfaiteur a créé un profil de demandeur d’emploi et contacte ses victimes après être tombé sur leur offre. Pôle emploi permet d’envoyer directement des CV, lettres de motivation avec pièce jointe aux recruteurs.

phishing Vade
Le premier message est légitimement partagé par Pôle emploi. L’employeur n’a aucune raison de soupçonner un piège à ce stade-là. // Source : Vade

Les pirates en profitent pour transmettre un message, indiquant à l’employeur que plusieurs candidatures l’attendent et qu’il doit se connecter depuis la page d’authentification. Un lien est fourni dans le corps du mail. Le site en question n’est qu’un Google Docs dans lequel la victime va taper ses identifiants, directement envoyé aux malfaiteurs. Ces derniers ont poussé la mise en scène jusqu’au bout puisqu’ils envoient un code d’authentification à l’employeur. La victime ne se rendra jamais compte qu’elle vient de transmettre ses identifiants à des pirates.

phishing vade
Les pirates se font passer pour Pôle emploi, demandant au recruteur de remplir une fausse page d’authentification. // Source : Vade
Phishing Vade
Ce site n’est en réalité qu’un Google Doc dans lequel la victime va rentrer ses identifiants. // Source : Vade

Des informations privées sur les candidats et l’entreprise

Depuis le 2 août, Vade a détecté 4 000 emails et la campagne semble repartir, avec 200 messages pour la seule journée du premier septembre. Les hackers ne ciblent pas un secteur particulier. Ils scrutent toutes les offres potentiellement attaquables. Les mails analysés par Vade ont par exemple visé un poste de technicien. Difficile, en revanche, d’estimer le nombre d’employeurs qui sont tombés dans le panneau.

Que peut faire le pirate avec les informations fournies par la victime ? « Le malfaiteur récupère d’abord une adresse mail et un mot de passe. Il peut accéder au compte Pôle emploi de l’entreprise et chercher des données précieuses, que ce soit sur la société en elle-même ou sur les candidats ayant envoyé un CV. Ces fichiers contiennent de nombreuses informations personnelles, il sera plus facile dès lors de cibler la victime, la tromper ou la faire chanter lorsque l’on connait autant son passé, ses passions, etc. » nous explique Antoine Morel, expert en cybersécurité chez Vade. « Les pirates peuvent aussi se tourner contre l’entreprise avec ces identifiants en main, et préparer discrètement une attaque en plusieurs étapes » ajoute-t-il.

Contacté par Numerama, Pôle emploi nous indique que cette technique est connue par leurs services et fait l’objet « d’un suivi rapproché pour identifier et bloquer ce type de tentative ». L’organisme aurait mis en place « des dispositifs de détections permettant de repérer et de neutraliser les fausses candidatures, une communication auprès des recruteurs ciblés, ainsi qu’une action de sensibilisation à destination de ses usagers comprenant des fiches de conseils réalisées avec Cybermalveillance.gouv.fr. »

Néanmoins, la campagne suit encore à son cours. On vous recommande donc de rentrer vos identifiants uniquement depuis le site officiel. Plutôt que cliquer sur le lien intégré dans un mail, tapez directement l’adresse du site dans la barre de recherche. Cela vaut pour tous les mails de phishing.