[ Cyberattaques ] La France sur son petit nuage
Le énième piratage de France Travail, ex-Pôle Emploi, pose une nouvelle fois la question de la sécurité de nos données numériques. Mais pose-t-on la bonne question ?
Les données personnelles de 43 millions de personnes inscrites ces vingt dernières années à France Travail ont été dérobées, a-t-on appris un mois après le début des faits – l'attaque a débuté le 5 février. Notons que la réglementation européenne interdit de conserver des données personnelles pour une telle durée.
Ce n'est pas la première fois que les données de France Travail, ex-Pôle Emploi, sont siphonnées. En août dernier, une fuite avait visé 10,2 millions d'allocataires. L'attaque avait été plus ou moins revendiquée après qu'un pirate ait mis en vente la base de données piratée 900 dollars la copie. En 2021, une fuite avait concerné 1,2 million d’allocataires.
Avec cette fois 43 millions de personnes potentiellement touchées, on change d'échelle. On se rappelle qu'il n'y a pas plus tard qu'un mois ce sont les données de 30 millions de clients de Viamedis et Almerys, les deux principaux gestionnaires du tiers payant pour les mutuelles en France, qui avaient été subtilisées. Réaction du nouveau gouvernement Attal : rétrograder le numérique au rang de secrétariat d'Etat et le confier à la très novice députée de Savoie Marina Ferrari (MoDem). On cherche toujours du reste, 24 heures après la connaissance publique des faits, une réaction de cette dernière à la cyberattaque de France Travail.
A lire : En plein piratage des données santé, le gouvernement rétrograde le numérique
La suite on la connait : plainte, enquête et... sous le tapis. Le nom, l’adresse, la date de naissance, le numéro de sécurité sociale volés ? Une broutille… sauf pour ceux qui voudraient usurper des identités. Lire à ce titre ce qu’en dit dans la magazine Conflits Fernand Gontier l’ex-directeur central de la police aux frontières.
“Aujourd’hui plusieurs menaces se révèlent avec la numérisation des documents et les procédures administratives dématérialisées, qui certes facilitent la vie des administrés mais permettent également de faciliter la fraude documentaire et/ou à l’identité (…). Il s’agit d’un vol ou d’une obtention avec des préjudices réels pour les personnes et nos finances publiques. Nous devons nous protéger également nous-mêmes par des réflexes au quotidien en préservant l’accès à nos données nominatives, et nous devons être protégés par nos institutions”.
Fernand Gontier n’est pas le seul ni le premier à mettre en garde alors que les intrusions se multiplient, de plus en plus massives.
"De nombreux attaquants profitent d’une trop faible maîtrise par les victimes de leurs systèmes d’information”, soulignait l'agence nationale pour la sécurité des systèmes d'information (Anssi) dans son rapport 2023. “À ce titre, la sous-traitance de tout ou partie d’un système d’information à une entreprise de services numériques ne peut être effectuée sans s’assurer du niveau de sécurité des services fournis. En effet, la responsabilité de la sécurité d’un système d’information reste à la charge de son propriétaire, en particulier pour les opérateurs stratégiques".
De ses prestataires justement, il n'est jamais question. A France Travail, c'est à Majorel qu'a été confiée la sous-traitance des fichiers. Fichiers qui sont stockés chez Amazon Web Services. Le premier qui parle de souveraineté numérique a perdu.
Ce n'est pas la seule potentielle faille. En mars 2023, le député Philippe Latombe (MoDem) s'inquiétait dans une question au gouvernement de l'utilisation de Microsoft Teams et Microsoft 365 au sein du ministère du travail, celui dont dépend France Travail, tenez donc.
"Alors que le gouvernement affiche une volonté de principe quant à la nécessité d'utiliser des technologies assurant la protection des données nationales, un tel choix fait en effet problème pour les données collectées et la confidentialité des échanges, l'option éventuelle d'un PBX (système privé d'entreprise, ndlr) dans le cloud constituant un risque supplémentaire, interpellait le député. Dérogation a déjà été donnée au ministère du travail dont les courriels.gouv.fr ne passent plus par le réseau interministériel d'État mais par Office 365. Cette décision est d'autant plus inquiétante qu'elle menace de s'étendre à d'autres ministères comme celui de la culture ou celui de la justice et représente de toute façon, par capillarité, un risque pour l'ensemble des administrations, notamment à l'occasion d'échanges de courriels."
On rappellera à toutes fins utiles que Microsoft a souvent été épinglé pour ses négligences en matière de cybersécurité. Que les comptes Microsoft 365 et Microsoft Azure sont la cible d’une vaste campagne d’attaques ciblées. Que c'est Microsoft Azure qui héberge jusqu'en 2024 les données de santé des Français, le temps qu'une alternative "de niveau" émerge qui soit labelisée SecNumCloud, le cloud de confiance. Cela tombe bien, décrocher ce label pour 2025, en même temps que sera décidé qui hébergera demain les données de santé du Health Data Hub, c'est l'objectif que s'est fixé le consortium constitué de Orange, Cap Gemini et... Microsoft – via l'offre Bleu (pas azure).
En attendant, Microsoft a été autorisé le 1er février dernier par la Commission nationale informatique et liberté (Cnil) à héberger certaines données de santé du Health Data Hub. Décision attaquée devant le Conseil d'Etat par l'Internet Society.
Bref, Microsoft est partout et entend bien continuer à l'être. Le géant américain a ainsi passé un accord avec la toute jeune (même pas un an) et ambitieuse start-up Mistral AI dans laquelle il entend investir 15 millions d'euros. Le risque d'abus de position dominante qui interpelle Bruxelles (qui a dit y regarder de plus près) et agace Thierry Breton n'a pas l'air de chatouiller plus que ça la secrétaire d'Etat. Pas plus que le rôle de Cédric O, l'ex-secrétaire d'Etat du numérique spécialisé dans les pantouflages, n'a l'air d'en interpeller beaucoup.
Au four et au moulin, Cédric O continue de conseiller plus ou moins en coulisses le gouvernement, et notamment en siégeant au comité de l’intelligence artificielle générative tout en poursuivant ses affaires : celles de conseiller-fondateur de Mistral AI pour laquelle il se fait également le lobbyiste comme le révélait La Lettre A.
A lire également : [Intelligence artificielle] Les PPP de Cédric O
Une position pour le moins acrobatique, sur le fil du couperet. La Haute autorité pour la transparence de la vie publique (HATVP) avait écarté la nomination de l'ex-secrétaire d'Etat, pour cause de conflit d'intérêt, au conseil d'administration d'Atos. Puis avait émis des réserves quant à son idée de monter un cabinet conseil, craignant une "une infraction de prise illégale d'intérêt" dans l’hypothèse où Cédric O réaliserait des prestations ou prendrait des participations au capital d’une entreprise privée.
Si Cédric O a rejoint en tant qu'indépendant le conseil d’administration d’Artefact, un cabinet de conseil spécialisé dans la data et l’IA, il a aussi monté son propre cabinet d’études : Nopeunteo. C’est via Nopeunteo qu’il a acquis, moyennant 176 euros, 1,15 % des parts de Mistral AI.
"Un investissement qui s’est transformé en or”, comme le souligne le magazine Capital “ puisque sur la base de la dernière levée de fonds effectuée par Mistral AI, les actions détenue par Nopeunteo vaudraient déjà près de… 23 millions d’euros !".
A noter que Mistral AI a également profité de fonds publics. En 2023, 125 entreprises sélectionnées ont bénéficié d’un accompagnement financier et extra-financier dans le cadre de la French Tech 2030. Et se sont partagées 15 milliards d’euros. Combien Mistral AI a-t-elle touché ? Interrogés à ce sujet, les services de Bercy n'ont pas répondu à nos questions. Français, dormez tranquilles ! Nous veillons sur vos impôts et vos données personnelles.
Peut-on être tour à tour ministre, instigateur d’un programme d’aide d’Etat dont a bénéficié une entreprise dans laquelle on est co-fondateur, co-actionnaire et lobbyiste (Cédric O est accrédité comme lobbyiste au parlement européen) et conseiller du gouvernement ? Interrogée à ce sujet, la HATVP n’a pas répondu à nos questions. A ce jour, aucun avis ni délibération n’a été publié quant aux potentiels liens d’intérêts entre Cédric O et Mistral AI.