Fuite de données chez Pôle Emploi : la base de données n’aurait finalement pas été vendue

Publié le 17 juin 2021 par Olivier Laurelli

Ce n’est certainement pas l’épilogue, mais c’est une bonne nouvelle si l’on en croit le dernier post de l’auteur de la mise en ligne et de la mise en vente d’une base de données de 1,2 millions de demandeurs d’emploi : cette base avait été retirée assez rapidement du forum où elle était en vente n’aurait pas été revendue.


Il explique dans un post daté d’hier avoir reçu pas mal de sollicitations et qu’on lui aurait expliqué d’où provenait cette base de données,. Ainsi, par empathie, il aurait finalement décidé de la retirer. Il en profite pour dénoncer le traitement médiatique spéculatif (et j’aurais moi même d’ailleurs à en redire puisque j’ai pu lire dans quelques média en ligne des citations de phrases que je n’ai jamais prononcé). Il en remet une couche en expliquant qu’il exploite des trous assez triviaux. Un post qui démonte totalement les absurdités que j’ai pu lire à droite à gauche sur une attaque supply chain par exemple, puisque si c’est Pôle Emploi… too big to fail… c’est forcément un tiers.

J’en profite au passage : Non Le Monde Informatique je n’ai jamais dit que l’auteur avait préalablement vendu une base de données d’une chaîne de supermarchés vietnamienne, vous me l’avez appris en me prêtant ces propos, sauf qu’ils ne sont pas de moi (et d’ailleurs mon nom c’est LAURELLI sans e à la fin), et il ne me semble même pas avoir échangé avec vous.

Et non, rien dans ce que j’ai vu ne peut faire penser à l’instant à une attaque supply chain… pas plus que du scrapping … la vérité, c’est que toute explication sur le comment, c’est de la spéculation.
A moins d’avoir des éléments concrets à analyser, ou qu’on nous autorise à pentester la plateforme et sa myriade de sous domaines pour trouver une ou plusieurs portes d’entrées… ça restera un mystère et pôle emploi se sentira légitime à ne pas communiquer sur le fait qu’il s’est fait déboîter…. dormez tranquilles, tout va bien on s’occupe de tout.

Ce n’est pas l’épilogue donc, car une enquête interne est en cours chez Pôle Emploi et que l’ANSSI va probablement elle aussi mettre son nez dedans, comme c’est souvent le cas quand il s’agit de défendre les OIV… Et ne nous réjouissons pas tout de suite, car s’il y a eu exfiltration de données, c’est que le trou est probablement toujours là.
Ce trou c’est probablement plus une bête injection SQL, ou une configuration trop permissive, qu’un truc super élaboré ou un scrapping sur 6 mois à aspirer le web pour tout reformater convenablement et le revendre 1000$. C’est d’ailleurs ce que l’auteur semble lui-même dire en parlant d’exploitation d’erreurs de programmation triviales.
Enfin sans avoir à pentester le frontal de pôle emploi, il suffit d’afficher le source de la home ou de la page d’authentification pour se dire qu’il y a forcément 2 ou 3 choses, qui sont perfectibles… comme des calls sur des urls en .intra sans https…