Trois personnes ont été mises en examen après la cyberattaque qui a touché France Travail (ex-Pôle Emploi) la semaine dernière, a annoncé ce mardi 19 mars au soir le parquet de Paris. Elles ont également été placées en détention provisoire. Les suspects avaient été arrêtés dimanche et vont être présentés à un juge d’instruction. Les suspects sont poursuivis pour «accès et maintien frauduleux dans un système de traitement automatisé de données, extraction de ces données, et escroquerie, le tout en bande organisée».

La section en charge de la lutte contre la cybercriminalité du parquet de Paris requiert leur placement en détention provisoire, précise la procureur de Paris, Laure Beccuau, dans un communiqué. Cette cyberattaque a pu entraîner un «risque de divulgation» de données personnelles avait précisé France Travail la semaine dernière. Le parquet requiert le placement en détention provisoire de ces trois personnes, nées en novembre 2001 dans l’Yonne, en septembre 2000 et septembre 2002 dans l’Ardèche, ajoute-t-elle.

Les perquisitions menées à leur domicile et sur leur matériel informatique ont confirmé pour certains d’entre eux une activité d’escroquerie en recourant à la technique de l’hameçonnage («phishing» en anglais). «Entre le 6 février et le 5 mars, des comptes d’agents de Cap Emploi, habilités à accéder aux ressources présentes sur le système d’information de France Travail, (ont) été utilisés pour procéder au téléchargement de données de la base des demandeurs d’emplois évaluée à 43 millions de données à caractère personnel», explique la procureure. Les investigations ont désormais pour objectif de rechercher d’éventuels autres acteurs, selon le communiqué.

Lundi 11 mars, Matignon avait fait savoir que, depuis la veille, des services de l’Etat faisaient «l’objet d’attaques informatiques» d’une «intensité inédite». Le Réseau interministériel de l’Etat (RIE) a été la cible d’attaques dites «par déni de service distribué» ou DDoS (pour distributed denial of service), soit par saturation des serveurs sous un afflux de connexions, afin de les rendre indisponibles. Matignon soulignait alors que l’impact avait été «réduit pour la plupart des services» et que l’accès aux sites de l’Etat était «rétabli».

L’enquête a été confiée conjointement à la Direction générale de la sécurité intérieure (DGSI) et au Centre de lutte contre les criminalités numériques (C3N) de la gendarmerie nationale. Les attaques ont été revendiquées par une entité qui s’est baptisée Anonymous Sudan, en référence à la mouvance Anonymous. Plusieurs entreprises de cybersécurité identifient cet acteur, apparu en janvier 2023, comme un groupe de «hacktivistes» prorusses, affilié au collectif KillNet, lui-même coutumier des attaques DDoS ciblant les pays qui soutiennent l’Ukraine.

Mise à jour : à 17h11, ajout de contexte ; ce mercredi 20 mars à 8 heures avec les mises en examen et les placements en détention provisoire.