Il y a quelques jours, une nouvelle annonce alarmante est apparue sur DarkForums, le marché noir qui comble le vide laissé par BreachForums. Dans l’annonce, consultée par 01net, un pirate du nom de Shin0bi prétend avoir compromis les systèmes de France Travail, l’organisme public chargé de l’emploi en France. Le hacker affirme avoir exfiltré des informations sur 22,3 millions de Français.
À lire aussi : Fuite de données d’état civil – l’État français dément les rumeurs de cyberattaque, mais ouvre une enquête
La base de données comprend les noms complets, les numéros de Sécurité sociale, les adresses postales, les adresses e-mail, ainsi que les numéros de téléphone des demandeurs d’emploi. Pour tenter de prouver ses dires, le cybercriminel a publié un long échantillon des données compromises. Il précise vendre le répertoire pour un montant réduit, à savoir 1000 dollars. Le pirate invite néanmoins ses pairs à venir négocier. Bien vite, le compte X Hackmanac, spécialisé dans les alertes de violations de données, a tiré la sonnette d’alarme en partageant une capture d’écran de l’annonce.
🚨Data Breach Alert ‼️
🇫🇷France – France Travail
Threat actor Shin0bi claims to have breached France Travail, with 22.3M records exfiltrated.
Allegedly, the stolen database contains full names, NIR (social security numbers), addresses, emails, and phone numbers of French… pic.twitter.com/bm3bHku4Dv
— Hackmanac (@H4ckmanac) September 25, 2025
Fausse alerte : les données ne correspondent pas
Contacté par 01net, France Travail a tenu à démentir les allégations du pirate. L’organisme public indique avoir « pris connaissance de l’annonce sur le darkweb prétendant détenir 22 millions d’entrées qui proviendraient de France Travail » et s’être promptement penché sur les assertions de Shin0bi.
« Conformément à nos procédures, nos équipes techniques ont immédiatement entrepris une investigation qui n’a révélé aucune correspondance dans nos fichiers. Par ailleurs, nous constatons une recrudescence de fausses annonces, impliquant une attention renforcée visant à évaluer la crédibilité de chaque annonce. Nos équipes restent vigilantes et continuent de surveiller toute revendication relative à une prétendue violation de données », nous explique France Travail.
Il s’agit donc d’une fausse alerte, déclenchée par un pirate cherchant à vendre des données recyclées au meilleur prix. Rien n’indique que les données soient fausses ou erronées. Il s’agit vraisemblablement de véritables informations compromises, mais qui circulaient déjà sur des marchés noirs. En évoquant un nouveau hack de France Travail, le pirate a simplement voulu se faire un peu de publicité.
Dans la foulée, le cybercriminel a partagé une myriade d’autres répertoires déjà connus, comme les données de Bouygues Telecom ou de l’Assurance maladie. Comme nous l’explique Bernard Montel, stratège en cybersécurité chez Tenable, « Shin0bi est un acteur ransomware encore récent et en pleine évolution » proche du groupe « Lynx, avec lequel il partage une infrastructure et des méthodes d’opération similaires ». Actif depuis l’an dernier, Lynx pratique la double extorsion et propose son ransomware aux pirates en herbe par le biais d’un abonnement.
À lire aussi : Fuite de données chez Bouygues Telecom – découvrez si vous avez été piraté avec Have I Been Pwned
Quoi qu’il en soit, France Travail a déjà été compromis à deux reprises entre 2024 et 2025. Entre février et mars 2024 de l’an dernier, des attaquants ont exploité des comptes de conseillers compromis pour exfiltrer les données personnelles de 43 millions de personnes en France. Les données ont rapidement été utilisées dans le cadre d’arnaques et d’escroqueries. Plus récemment, dans le courant de l’été, les données de 340 000 demandeurs d’emploi ont été compromises par le biais de l’application Kairos.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
