Fin février 2024, France Travail (anciennement Pôle emploi) a été victime d’une cyberattaque d’envergure ayant entraîné la fuite massive de données personnelles de millions de demandeurs d’emploi et d’anciens inscrits. Cette attaque, revendiquée par le groupe de hackers LockBit, a exposé des informations sensibles comme les noms, les adresses et les numéros de sécurité sociale. Voici ce qu’il faut savoir pour comprendre l’ampleur de cette attaque et savoir si vous êtes concerné.
| Élément clé | Information vérifiée |
|---|---|
| Période de l’intrusion | Entre le 6 février et le 5 mars 2024 |
| Annonce publique | 13 mars 2024 (communiqué de France Travail) |
| Volume potentiellement concerné | Jusqu’à 43 millions de personnes sur près de 20 ans d’historique |
| Types de données | Identité, coordonnées, numéro de sécurité sociale, identifiants France Travail (hors mots de passe) |
| Situation des données bancaires | Aucune donnée bancaire n’a été exposée |
- Jusqu’à 43 millions de profils potentiellement touchés selon France Travail et la CNIL.
- Aucune donnée bancaire n’a été exposée, mais la vigilance reste de mise face aux arnaques.
- Une nouvelle fuite en 2025 via la plateforme Kairos a concerné environ 340 000 personnes.
Quand et comment la cyberattaque de France Travail a-t-elle eu lieu ?
L’intrusion s’est produite entre le 6 février et le 5 mars 2024. Les pirates ont réussi à accéder aux systèmes de France Travail en compromettant des comptes liés à ses partenaires, notamment des conseillers Cap emploi. Une fois à l’intérieur, ils ont extrait des fichiers contenant des données personnelles. L’attaque a été détectée début mars, puis rendue publique le 13 mars 2024 à la suite d’un communiqué officiel.
Chronologie synthétique
| Date | Fait marquant |
|---|---|
| 6 février – 5 mars 2024 | Fenêtre d’intrusion identifiée |
| 8 mars 2024 | Notification de l’incident à la CNIL |
| 13 mars 2024 | Communication officielle de France Travail et dépôt de plainte |
Quelles données personnelles ont été volées ou compromises ?
Les fichiers dérobés contenaient des informations telles que le nom, le prénom, la date de naissance, le numéro de sécurité sociale, ainsi que les coordonnées (adresse, e-mail, téléphone) et les identifiants France Travail. Aucun mot de passe ni aucune donnée bancaire ne figurait parmi les éléments volés.
Ces informations sont néanmoins suffisantes pour faciliter des fraudes à l’identité ou des tentatives d’hameçonnage ciblées.
| Données exposées | Conséquences possibles |
|---|---|
| Identité et numéro de sécurité sociale | Usurpation d’identité, création de faux comptes |
| Coordonnées personnelles | Phishing, SMS frauduleux, appels malveillants |
| Identifiants France Travail | Connexions non autorisées, tentatives de récupération d’accès |
Combien de personnes sont concernées par cette cyberattaque ?
France Travail estime que jusqu’à 43 millions de personnes sont potentiellement concernées. Ce chiffre inclut les demandeurs d’emploi actuels, les anciens inscrits, ainsi que les titulaires d’un compte candidat sur les vingt dernières années. Cette fuite figure parmi les plus importantes jamais recensées en France.
Qui est à l’origine de l’attaque et quelles sont ses motivations ?
Le groupe de hackers LockBit est suspecté d’être à l’origine de l’attaque. Ce collectif, déjà impliqué dans de nombreuses attaques internationales, se spécialise dans l’extorsion et la revente de données. Leurs motivations sont principalement financières, la revente ou la diffusion de bases de données étant une source de revenus importante pour ce type de groupe.
Comment France Travail a-t-il réagi après la cyberattaque ?
Dès la découverte de l’intrusion, France Travail a déposé plainte, notifié la CNIL et publié un communiqué officiel. L’organisme a assuré que ses services restaient accessibles et que les indemnités n’étaient pas affectées. Des messages de prévention et de vigilance ont été diffusés sur le site et dans les espaces personnels pour aider les utilisateurs à éviter les tentatives de fraude.
Quelles démarches doivent faire les utilisateurs potentiellement touchés ?
Les personnes concernées sont invitées à adopter plusieurs réflexes simples pour limiter les risques liés à la fuite des données.
| Démarche à effectuer | Objectif |
|---|---|
| Surveiller ses e-mails et ses SMS | Détecter les messages frauduleux et les liens suspects |
| Modifier ses mots de passe utilisés ailleurs | Éviter les connexions non autorisées sur d’autres comptes |
| Activer la double authentification | Sécuriser l’accès à ses comptes en ligne |
| Vérifier les notifications officielles de France Travail | Identifier les faux messages ou rendez-vous frauduleux |
| Contacter sa banque en cas de doute | Prévenir les mouvements anormaux ou tentatives d’usurpation |
Quels risques concrets pour les demandeurs d’emploi concernés ?
Les risques les plus importants concernent l’usurpation d’identité et les escroqueries numériques. Les pirates peuvent exploiter les données volées pour créer de faux profils, envoyer de fausses offres d’emploi ou demander des documents administratifs au nom des victimes. Ces pratiques exigent une vigilance accrue de la part des utilisateurs, notamment face aux e-mails inattendus ou aux appels douteux.
Comment vérifier si vos données ont été exposées ?
France Travail a précisé que les personnes directement touchées par la fuite recevront une notification individuelle. Il est conseillé de surveiller l’activité de ses comptes et de ne répondre qu’aux communications provenant du site officiel. Si vous recevez un message suspect, il est préférable de le signaler directement via l’espace personnel de France Travail.
Quelles mesures de sécurité ont été mises en place après l’incident ?
À la suite de l’attaque, France Travail a renforcé ses systèmes de sécurité informatique. Les contrôles d’accès ont été durcis, la surveillance des connexions anormales intensifiée et les partenaires ont été soumis à des audits de sécurité. L’organisme a également lancé une campagne de sensibilisation auprès des utilisateurs pour rappeler les bons réflexes en ligne.
| Mesure de sécurité | Objectif |
|---|---|
| Renforcement des accès aux systèmes | Limiter les risques d’intrusion via les comptes partenaires |
| Surveillance accrue du réseau | Détecter rapidement les activités suspectes |
| Campagnes de sensibilisation | Former les utilisateurs aux bonnes pratiques numériques |
| Collaboration avec les autorités | Garantir la transparence et la conformité au RGPD |
A lire: Qu’est-ce que la catégorie 5 de France Travail et que signifie-t-elle pour les demandeurs d’emploi ?
Que disent les autorités comme la CNIL sur cette cyberattaque ?
La CNIL a ouvert une enquête pour évaluer les mesures de protection mises en place avant et après l’incident. L’autorité a également rappelé aux usagers les démarches à suivre : changer leurs mots de passe, surveiller leurs comptes en ligne et signaler toute tentative d’escroquerie. Elle continue de suivre le dossier en coordination avec France Travail.
France Travail a-t-il déjà été victime d’autres attaques informatiques ?
Oui. En juillet 2025, une nouvelle fuite de données a touché environ 340 000 personnes via la plateforme Kairos, utilisée pour le suivi des formations. Les informations compromises concernaient principalement les coordonnées et les identités, sans impact sur les données bancaires. Cet épisode rappelle la persistance du risque cyber dans le secteur public.
Quelles leçons tirer de cet incident pour renforcer la cybersécurité ?
Cette attaque démontre la nécessité d’une protection renforcée des données publiques et des comptes partenaires. Elle souligne aussi l’importance d’une authentification forte, d’un contrôle régulier des accès et d’une sensibilisation continue des usagers. Les incidents de ce type montrent que la vigilance de chacun joue un rôle clé dans la sécurité collective.
