Cyberattaque France Travail : 31 000 demandeurs d'emploi piratés

France Travail victime d’une nouvelle cyberattaque massive

Le groupe de hackers Stormous revendique le vol de 30 Go de données personnelles via des ordinateurs infectés. Troisième attaque majeure en deux ans.

France Travail fait face à une nouvelle cyberattaque d’envergure. Le 27 octobre 2025, le collectif de hackers russes, connu sous le nom de Stormous, a déclaré avoir dérobé 30 Go de données sensibles appartenant à plus de 31 000 demandeurs d’emploi. L’établissement public a confirmé l’intrusion, tout en précisant ne pas pouvoir vérifier l’étendue exacte de cette fuite. Cet événement marque le troisième incident majeur en moins de deux ans, soulevant de sérieuses interrogations quant à sa capacité à protéger les informations personnelles.

Des informations particulièrement sensibles exposées

La revendication du groupe Stormous, diffusée sur différentes plateformes du dark web, donne une idée de l’ampleur des données compromises. Les fichiers subtilisés contiennent des renseignements qui peuvent être très facilement exploités pour des actions frauduleuses, tels que :

  • L’identité complète incluant nom, date de naissance et adresse.
  • Les coordonnées, comme les numéros de téléphone et les adresses électroniques.
  • Des documents officiels, dont des cartes d’identité et des relevés d’identité bancaire (RIB).
  • Des pièces administratives, telles que des avis d’imposition et des justificatifs de Sécurité sociale.
  • Des contrats de travail et des attestations de formation.

Benoît Grunemwald, expert en cybersécurité chez ESET, souligne que cette concentration de données facilite grandement les usurpations d’identité, les tentatives de hameçonnage ciblées et l’ouverture frauduleuse de comptes bancaires.

Une approche d’attaque inédite

Contrairement aux incursions habituelles qui ciblent directement les serveurs, cette cyberattaque s’est appuyée sur une faille différente : les ordinateurs personnels des utilisateurs. Les hackers ont eu recours à des logiciels malveillants, appelés « infostealer », des virus spécifiquement conçus pour récupérer des identifiants, des cookies et des jetons d’accès.

Ces programmes nuisibles s’installent généralement à l’insu des utilisateurs, via des publicités piégées, des pièces jointes infectées ou des sites web frauduleux. Une fois actifs, ils permettent aux cybercriminels de se connecter aux services en ligne en utilisant les identifiants légitimes des victimes, circumventant ainsi les systèmes de sécurité centralisés.

France Travail a confirmé que son infrastructure n’avait pas été directement visée par l’attaque, mais que les accès détournés avaient été exploités.

Mesures d’urgence et recommandations

L’organisme a réagi sans tarder en alertant l’ensemble de ses usagers via son site officiel et son intranet. Les personnes directement touchées recevront une notification individualisée une fois que leur compte aura été identifié comme compromis.

France Travail conseille plusieurs mesures préventives urgentes :

  • Modifier immédiatement les identifiants de connexion.
  • Accroître la vigilance sur l’activité des comptes en ligne.
  • Signaler toute tentative de fraude jugée suspecte.
  • Privilégier l’usage d’ordinateurs sécurisés et de mots de passe robustes.

Un historique préoccupant

Cette nouvelle attaque s’inscrit dans une série d’incidents qui minent la confiance des usagers. Depuis 2022, France Travail a été la cible de plusieurs cyberattaques majeures :

  • En 2022 : un piratage touchant 10 millions d’usagers.
  • En février 2024 : 43 millions de comptes compromis via les accès de conseillers.
  • En juillet 2024 : 340 000 profils exposés par le biais d’un portail partenaire.
  • En octobre 2025 : 31 000 comptes affectés par l’attaque Stormous.

Chaque incident a donné lieu à des campagnes de hameçonnage ciblées, notamment par SMS frauduleux, entraînant des vols de données bancaires et diverses escroqueries.

Conséquences pour les victimes

La CNIL met en garde contre les risques concrets liés à cette fuite de données. Les personnes concernées sont exposées à plusieurs menaces :

  • L’ouverture illégale de comptes bancaires.
  • La souscription non autorisée de crédits ou d’abonnements.
  • Le dépôt de faux dossiers de location.
  • Des tentatives d’extorsion ou de chantage.

Les victimes sont invitées à déclarer l’incident sur la plateforme cybermalveillance.gouv.fr, à contacter leur banque en cas d’anomalie et à déposer plainte pour usurpation d’identité si nécessaire.

Interrogations sur la stratégie de sécurité

Cette récurrence d’incidents soulève des questions sur la capacité de France Travail à sécuriser les informations qu’il gère. Malgré les renforcements de sécurité annoncés après les attaques précédentes, la vulnérabilité persiste.

Le problème va au-delà de la seule responsabilité de l’organisme. Dès lors que les accès des utilisateurs sont compromis, aucune protection interne ne peut empêcher l’extraction des données. Cette situation met en lumière la fragilité de toute la chaîne de confiance entre l’administration et les citoyens.

La dématérialisation croissante des services publics rend cette problématique encore plus critique. Sans une réponse globale incluant des budgets renforcés, des audits réguliers et une meilleure considération du facteur humain, d’autres incidents similaires sont susceptibles de se produire.

Tendance actuelle

Salarié en arrêt maladie recevant un SMS
Dois-je répondre à son employeur en arrêt de travail ? Droits et obligations du salarié en arrêt maladie
Marché du travail : enjeux juridiques et économiques
L’articulation complexe entre marché du travail et gestion de l’emploi : analyse juridique
Peut-on revenir sur sa démission pendant le préavis ?
Démission : le salarié peut-il revenir sur sa décision pendant le préavis ?
Préavis et licenciement : conséquences d'une faute grave
Licenciement pendant le préavis de démission : quelles conséquences et recours pour le salarié ?