Comment des malfaiteurs pourraient exploiter les faiblesses de Pôle Emploi
Ce jeudi 17 décembre, Numerama met en lumière le manque de protection des données des demandeurs d'emploi : n'importe qui peut s'inscrire en tant que « particulier employeur » sur le site de Pôle Emploi et accéder aux profils de dizaines, voire de centaines de milliers de demandeurs d'emploi. Après la création d’un compte, effectuée en quelques clics, pas besoin d'attendre une validation de son profil, on peut commencer à « rechercher des profils ». D'ailleurs, de nombreux faux employeurs en abusent, comme l'a montré enquête.
Comme nous l'exposions dans notre précédent article, cette facilité d'accès mène au pullulement des fausses offres d'emploi, malgré les efforts de Pôle Emploi pour les limiter. Mais surtout, elle fait de la liste des demandeurs d'emploi l'équivalent d'une base de données ouverte, truffée de données personnelles, dans laquelle n'importe qui peut piocher.
« Il y a un grand défaut de sécurité si n'importe qui peut se faire passer pour employeur et avoir accès à des données comme ça », s'étonne d'ailleurs une de nos témoins, qui a reçu des annonces fallacieuse.
Sans avoir besoin d'une quelconque autorisation supplémentaire, il est possible de feuilleter les curriculum vitae (CV) des demandeurs dès l'inscription. Ce sont de vraies mines d'informations : nom, prénom, adresse, numéro de téléphone, adresse email... Ajoutez à cela l'historique des employeurs, celui des formations et même les centres d'intérêt de la personne.
Pôle Emploi, garant d'une mine à données personnelles
La consultation des CV se fait discrètement, sans que les personnes concernées soient averties. Certes, elles ont consenti -- auprès de Pôle Emploi -- à la visibilité de leur CV auprès des recruteurs. Ce consentement est d'ailleurs logique, voire forcé par la situation : difficile de se faire recruter sans donner d'informations. Mais charge à l'institution de garantir que le moins de personnes malveillantes puissent mettre la main sur ces données.
La manipulation que nous décrivons a tout de même une limite. Les recruteurs « particuliers employeurs » n'ont accès qu'aux profils de 30 domaines : assistance à la personne, enseignement, maintenance, industrie du spectacle... Pour accéder à d'autres professions, il faut créer un compte « entreprise », et donc usurper un numéro de SIRET ou créer un statut de micro-entrepreneur. Un malfrat prendra donc un risque plus important -- bien que toujours relativement modéré -- avec ce statut.
Que les cybercriminels utilisent l'un ou l'autre statut de recruteur, le constat reste le même : en ne vérifiant pas suffisamment l'accès à son trésor de données alors qu’un recruteur peut les collecter en quelques clics, Pôle Emploi expose les demandeurs à des actes malveillants.
La précarité, un terreau parfait pour le phishing
L'accessibilité aux données ne paraîtra peut-être pas concernante pour certaines personnes : après tout, un CV peut être distribué à des dizaines de personnes chaque semaine. Mais le problème, c'est bien l'accumulation des CV, qui font de l'outil de Pôle Emploi une source d'information facile d'accès et très régulièrement renouvelée, d'autant plus en cette période de crise.
En conséquence, la situation actuelle fournit aux pirates tous les ingrédients pour créer un phishing efficace à très bas coût. Cette manipulation, aussi appelée hameçonnage, a pour objectif soit d'extorquer des données à la victime (numéros de cartes bancaires, identifiants, informations confidentielles...), soit de lui faire télécharger un logiciel malveillant.
L'outil de recherche de Pôle Emploi présente à la fois une quantité et une qualité de données intéressante. Les malfrats peuvent au choix s'adresser à des centaines de milliers de personnes en même temps (en sachant que toutes seront sensibles aux thématiques de recherche d'emploi), ou créer des messages frauduleux extrêmement personnalisés, nourris des informations du CV. Plus les malfaiteurs auront un cocktail de données important et varié sur vous, leurs messages seront convaincants, et plus ils auront de chances de vous piéger.
Une situation d'urgence : les demandeurs d'emploi ont, le plus souvent, besoin de revenus ou d'une meilleure stabilité professionnelle. Le versement des allocations est limité au-delà d'une certaine durée, tout comme l'inscription même à Pôle Emploi. Les demandeurs peuvent donc être tentés de prendre la première offre acceptable qui se présente à eux, d'autant plus qu'il s'agit d'une des exigences de l'institution. Et c'est ici que les cybercriminels font leur jeu : si la cible se précipite et ne prend pas le temps de se poser les bonnes questions sur l'étrangeté de la situation, elle pourra facilement tomber dans un piège.
Pour les demandeurs, le « trop beau pour être vrai » est facile à imaginer. Dans des phishings très grand public, les cybercriminels essaient de piéger leurs cibles avec un appât sous forme de gain, comme un faux remboursement, ou une victoire à un jeu-concours. Pour les demandeurs d'emploi, pas besoin de créativité : il suffit de prétendre à une augmentation des allocations ou à une offre d'emploi idéale pour faire cliquer. Inversement, les cybercriminels tirent aussi la corde négative : une facture imprévue qu'il faut annuler, des droits de douane à payer pour se faire livrer... Dans cette situation, un malfaiteur peut faire croire par exemple à une radiation de Pôle Emploi pour déclencher la panique chez ses victimes.
Récemment, Cyberguerre révélait qu'un faux SMS du gouvernement contenait un dangereux malware. Le texto reprenait mot pour mot un message diffusé à des millions de Français et Française. Le message officiel, tout comme celui du gouvernement, se présentait comme provenant de « Gouv.fr », sans que les utilisateurs disposent d'un quelconque moyen pour révéler la supercherie. Rien n'empêche les malfaiteurs de faire pareil avec Pôle Emploi...
Autre menace réelle : le doxing. Cette pratique malveillante consiste à publier à des fins malveillantes des données personnelles. Par exemple, certains individus cherchent à exposer les moyens de contact (adresse, email, téléphone...) de personnes qui d'après elle ont écrit des messages moralement répréhensibles, à des fins de harcèlement. Même si la cible a bien sécurisé ses réseaux sociaux et a retiré son nom des annuaires, l'individu malveillant pourrait retrouver les informations qu'il cherche sur son CV déposé sur Pôle emploi.
Mon profil est sur Pôle Emploi, que dois-je faire ?
En attendant que Pôle Emploi sécurise mieux l'accès aux profils, et même s'ils le font, il existe plusieurs précautions à appliquer pour éviter efficacement les phishings :
Redoublez de vigilance et faites confiance à vos suspicions. Le meilleur moyen de contrecarrer un phishing est de prendre du recul et de réfléchir. Un message vous paraît bizarre ? Prenez le temps de regarder s'il contient des fautes d'orthographe, de regarder si le lien vous paraît étrange ou si l'adresse de l'émetteur du message est correcte. Vous pouvez aussi rechercher le message à partir de quelques mots clés sur un moteur de recherche : le plus souvent, d'autres personnes (parfois, des journalistes comme nous) se sont posé la même question que vous, et y ont répondu.
Pour tout sujet relatif à Pôle Emploi privilégiez toujours le passage par le site ou l'application officiels, voire un déplacement en agence. Pôle Emploi vous aurait désinscrit de la liste des demandeurs d'emploi ? Vérifiez sur votre espace, ou déplacez-vous en agence.
Utilisez une adresse email dédiée pour vos recherches d'emploi. Les messages liés à la base de données de Pôle Emploi ne seront pas mélangés avec vos autres messages. Une fois votre recherche d'emploi terminée, vous pourrez fermer cette adresse.