Majorel met Pôle Emploi dans l'embarras. Vol massif de données personnelles

Révélée le 23 Août par voie de communiqué officiel, l'affaire d'un vol massif chez Pôle Emploi de données personnelles de 10 millions de demandeurs d'emploi tombe très mal pour ceux-ci et Majorel, le prestataire impliqué. Ce dernier est en effet en voie de cession à Teleperformance (l'OPA a débuté le 14 Août) et s'avère très présent dans les deux secteurs services publics et santé, où la protection des données est une question sensible. En Allemagne, de nombreuses banques clientes de Majorel, société cotée en Bourse à Amsterdam, ont également été affectées. 

Les failles de MOVEit -un logiciel spécialisé de transfert de fichiers, édité par Ipswitch- qui seraient à l'origine de cette malveillance perturbent l'assoupissement estival de nombreuses grandes compagnies : E/Y, Cegedim, Deustche Bank, ING seraient également concernés mais également British Airways par exemple.

900 dollars, prix de la mise en vente de ce fichier sur le darknet.

Le 8 août, une annonce publiée sur le darknet interpelle ceux qui le surveillent, tel Damien Bancal (Zataz). Un vendeur connu bien qu'anonyme y propose de céder un fichier de 10,2 millions de données. On apprendra plus tard que ce fichier concerne des demandeurs d'emploi inscrits en Février 2022 dans le fichier de Pôle Emploi ou qui l'ont été dans les douze mois précédent cette date. 

Par voie de communiqué de presse officiel, Pôle Emploi reconnait le 23 août ce vol mais ne communique pas dans un premier temps sur le prestataire concerné. Il n'en a que deux sur ces prestations de numérisation de documents. On apprendra plus tard que c'est Majorel, l'un des leaders européens du BPO, qui est concerné et non Tessi, le second partenaire de l'agence sur les activités de GED et de traitement automatisé. 

Les données divulguées.

Les numéros de Sécurité Sociale, noms et prénoms sont contenus dans les fichiers divulgués mais pas les coordonnées bancaires, mots de passe ou numéros de téléphone des allocataires concernés, d'après Pôle Emploi. Une faille de sécurité dans l'application MOVEit transfer (éditeur Ipswitch, groupe Progress) de partage de fichiers serait à l'origine de ce vol, faille connue des spécialistes et que le gang de ransomware Clop a déjà utilisée pour ses méfaits.

Réactive, après qu'elle a pris connaissance de cette probable vente, Pôle Emploi a indiqué qu'il prendrait contact avec les demandeurs d'emploi concernés et incite à une grande prudence en cas de sollicitations par des tiers. Le numéro de Sécurité Sociale permet quantité de démarches frauduleuses, puisqu'il est la porte d'entrée à de nombreux services dans les administrations, sans y suffire. Sur son serveur vocal interactif -qu'on a testé- le choix 3 permet d'être renseigné sur ce vol et d'obtenir plus d'informations. Le 3949 risque donc d'être sollicité plus que de coutume dans les prochains jours, ceux durant lesquels s'effectue l'actualisation. 

Une affaire qui tombe mal pour Majorel, sur le point d'être cédé à Teleperformance.

Majorel, qui a réalisé 1,7 milliards de CA en 2021, est considéré comme un acteur rigoureux et qualitatif dans son domaine. Mais il est aussi en cours d'acquisition ( pour 3 Milliards d'euros) par Teleperformance, le leader mondial du BPO et de l'expérience client externalisée. L'aspect sécurité des données est un sujet très surveillé chez les acteurs du BPO, qui mobilise des directions RSSI et anti-fraude étoffées et expertes comme l'expliquait récemment Aurélie Naudé, directrice juridique et conformité chez Teleperformance. “On doit se préparer à tout”

Parallèlement, Majorel (ex-Arvato) est très présent dans les domaines de la santé et des services publics, des secteurs où l'on est particulièrement vigilant sur les données personnelles. Le secteur public et santé y est dirigé par Juan d'Alcantara, pour la partie commerciale 

Le 10 Juillet, le quotidien économique allemand Handelsblatt révélait que Majorel avait été concerné par des vols de données rendus possibles par la faille évoquée et que des grandes banques telles ING, Comdirect, Postbank, Deutsche Bank, ses clients étaient donc impactés. Il y est mentionné également que ce serait Kontowechsel, une entité logicielle filiale de Majorel, utilisée dans ces banques qui aurait pu être affectée.

On sait désormais que E/Y et Cegedim auraient été également victimes de ces vols. Plus de 1006 entreprises et administrations* seraient concernées dans le monde par des vols de données, comme évoqué ici. (*Dont des compagnies telles Deloitte, des hôpitaux, British Airways, BCD Travel, des diocèses et leurs fichiers de donateurs)

Un précédent vol de données chez Pôle Emploi, intervenu en 2021, n'avait concerné que 1,5 millions de demandeurs d'emploi.

La CGT monte au créneau.

Dans un communiqué de presse officiel, le syndicat a lié ce vol de données à une externalisation massive de ces services à des prestataires externes et à la volonté des commanditaires de réduire les dépenses associées. Elle alerte sur les risques à venir, en raison de la création de France Travail. Elle rappelle également qu'un grand acteur de l'intérim (sans le citer, mais il s'agit en l'occurrence d'Adecco) a également été victime d'un vol similaire, qui a occasionné ensuite des prélèvements frauduleux, émis par Solfex France Sasu.

Lire ici notre article et comment Adecco a mis alors en place un callbot pour informer ses intérimaires. avec Citizen Call.

Nommer Majorel, pourquoi ? Les impacts possibles. 

Majorel, entreprise cotée à la bourse d'Amsterdam (Majorel Group Luxembourg SA) est une entité connue préalablement sous le nom d'Arvato et dont les deux actionnaires principaux sont Bertelsmann et Saham Group. La dématérialisation des documents, l'externalisation des services de numérisation et de relation client notamment pour les acteurs publics font partie de son coeur de métier: l'entreprise sert la ville de Barcelone sur ce sujet, des communes ou administrations au Royaume-Uni, en Espagne, en Allemagne. Sur la vidéo qui suit, on découvre l'une de ses nombreuses prises de parole liées à ces sujets.

Majorel n'a pas publié de communiqué de presse sur ce vol ou cette perte des données sur son site internet. Depuis l'article du 10 Juillet en Allemagne, l'entreprise, réputée pour sa discrétion, a pu penser que l'incendie était circonscrit. Cet incident en France la remet sous la lumière des projecteurs.

La plainte déposée auprès du Parquet de Paris par son client Pôle Emploi permettra probablement de comprendre ce qui s'est passé. Qualifié d'acte de cyber malveillance officiellement, la communication officielle de l'administration faisait initialement du prestataire.. une victime. Elle le nomme désormais comme responsable, comme le suggèrent les propos tenus auprès de l'AFP. 

Quels risques pour un prestataire, sinon celui de la perte d'image ? Les victimes de vols de données personnelles peuvent porter plainte de façon collective contre la société qui est à l'origine de la perte mais également le faire à titre personnel. Article 226-17 du code pénal. Dans cette hypothèse, Pôle Emploi serait fondé à se retourner contre son prestataire. 

C'est la 2ème perte de données personnelles cette année en France mettant en cause un prestataire de BPO, a avoir été médiatisée après que les fichiers qui en résultent ont été mis en vente sur des sites spécialisés du darknet. La première étant intervenue chez un petit acteur du renseignement téléphonique, comme nous l'avons relaté.

La dématérialisation et la numérisation des documents font l'objet de très nombreux appels d'offres, afin d'être externalisés, confiés à des spécialistes: santé, chaînes de télévision, acteurs de la santé, Opac, banques, services publics confient ces tâches de numérisation à des spécialistes tels qu'Arvato-désormais Majorel-Luminess, Tessi, Vivetic etc, pour ce qui est de la France. 

Photo de une sur le post Linkedin: chez Luminess, l'un des acteurs réputés de la GED et de la numérisation des données, où l'on travaille activement sur les process de sécurité et d'anonymisation des données personnelles. Luminess n'est pas impliqué dans l'affaire évoquée par cet article.