Le Centre national de la fonction publique territoriale a confirmé qu’une intrusion informatique, survenue sur la plateforme intervenants du site intervenant.cnfpt.fr, a permis l’accès non-autorisé aux données personnelles de 34 000 utilisateurs. L’incident a été repéré par les équipes du Centre national de la fonction publique territoriale après la constatation d’un accès illégitime à la plateforme dédiée aux intervenants extérieurs. Les investigations menées par les services internes en cybersécurité du CNFPT, en coordination avec des experts externes, ont révélé qu’une partie ou la totalité des documents déposés par les intervenants avait pu être copiée lors de l’intrusion. Le périmètre de l’attaque, à ce stade des analyses, demeure limité à la plateforme dédiée, sans propagation vers les autres services informatiques du CNFPT. L’ensemble des autres applications et sites rattachés à l’institution reste pleinement opérationnel, selon les vérifications réalisées après l’incident.
« La plateforme intervenants du CNFPT a fait l’objet d’une attaque ciblée, sans impact sur les autres services », a indiqué la direction du Centre national de la fonction publique territoriale dans un communiqué interne adressé aux personnels concernés. La première alerte a été donnée début juillet et, immédiatement après l’identification de l’attaque, le CNFPT a enclenché ses procédures de gestion de crise. Des mesures conservatoires ont été appliquées pour sécuriser l’accès à la plateforme, en collaboration avec les autorités compétentes et la Commission nationale de l’informatique et des libertés.
La nature des documents compromis a été précisée au fil des investigations techniques. Parmi les fichiers exposés figurent des pièces d’identité, tels que carte nationale d’identité, passeport ou carte de séjour, des relevés d’identité bancaire, des attestations diverses (notamment carte vitale), des contrats de travail, des arrêtés de situation administrative, des justificatifs de retraite, des attestations sur l’honneur, des diplômes et des curriculum vitae. Seuls les intervenants ayant transmis ce type de documents via la plateforme sont potentiellement concernés. Il s’agit principalement de personnes qui ont déposé des fichiers entre mai 2022 et la date de l’incident, à l’exception des curriculum vitae qui, dans certains cas, pouvaient remonter à une période antérieure.« 34 000 intervenants concernés par le vol de données sur la plateforme dédiée du CNFPT »
Le CNFPT a adressé, le vendredi 11 juillet, un courriel personnalisé à l’ensemble des 34 000 intervenants affectés, leur détaillant la nature exacte des documents compromis. Cette notification respecte l’obligation de transparence fixée par la législation européenne sur la protection des données personnelles. Aucune information sur le mode opératoire des attaquants ni sur la durée précise de leur présence sur la plateforme n’a été communiquée à ce stade des investigations. Les autorités judiciaires ont été saisies par le dépôt d’une plainte formelle, enregistré le jeudi 10 juillet.
Les conséquences potentielles de cette fuite de données sont multiples et sérieuses pour les personnes touchées. L’exploitation malveillante de documents d’identité, de relevés bancaires ou de pièces justificatives expose les victimes à des risques de phishing ciblé, d’escroquerie financière, d’usurpation d’identité ou de piratage de comptes en ligne. Des tentatives de fraude, utilisant des informations précises issues des documents volés, pourraient survenir dans les semaines ou les mois à venir, tant par email que par téléphone ou SMS.
Face à cette situation, le CNFPT invite l’ensemble des personnes concernées à faire preuve d’une vigilance accrue vis-à-vis de tout message ou sollicitation inhabituelle, qu’il s’agisse d’emails, d’appels téléphoniques ou de transactions bancaires. Il est fortement recommandé de surveiller l’activité des comptes bancaires associés aux coordonnées compromises, et de signaler immédiatement toute opération anormale auprès de sa banque. Les autorités de régulation et de contrôle, dont la Commission nationale de l’informatique et des libertés, ont été officiellement informées du caractère et de l’ampleur de la fuite.« Les documents volés incluent carte d’identité, RIB, diplômes et contrats de travail »
Le CNFPT rappelle que ses services ne demandent jamais, à aucun moment, la communication de mots de passe, d’identifiants personnels ou de codes d’accès, que ce soit par écrit ou oralement. Cette consigne vise à limiter le risque de réussite de tentatives d’hameçonnage reposant sur l’usurpation de l’identité de l’établissement. Les personnes ayant un doute ou faisant face à une situation anormale sont invitées à contacter le service officiel d’assistance aux victimes de cybermalveillance ou à saisir la cellule dédiée, mise en place par le CNFPT, via l’adresse support.intervenants@cnfpt.fr.
Les premières investigations indiquent que le paiement des interventions n’est pas compromis par cette fuite : le processus de règlement des prestations, adossé à d’autres systèmes internes, demeure sécurisé et n’a pas été affecté. La plateforme intervenants, bien que centrale pour la gestion administrative des dossiers des prestataires, ne donne pas accès aux circuits de paiement eux-mêmes. Ce point a été confirmé par les équipes informatiques à l’issue d’un audit technique conduit dès la détection de l’intrusion.
Aucune action spécifique n’est à engager concernant la modification de mots de passe sur la plateforme, les données d’authentification étant protégées par des mécanismes de chiffrement avancés. Le CNFPT a cependant renforcé ses mesures de surveillance, notamment sur les accès à la plateforme et les flux de données entrants et sortants, dans le but de prévenir toute tentative ultérieure d’exploitation frauduleuse. Les systèmes d’alerte internes ont également été réévalués et étendus.« Les intervenants ayant transmis des documents depuis mai 2022 sont les principaux concernés »
Pour accompagner les intervenants, une foire aux questions actualisée a été publiée sur le site officiel de l’établissement, détaillant l’ensemble des mesures prises, les démarches à effectuer en cas de doute et les coordonnées des services de soutien. Les informations sont régulièrement mises à jour au fil de l’évolution de l’enquête technique et judiciaire. Par ailleurs, les autorités rappellent que, si un risque est identifié concernant l’utilisation des données bancaires, il convient de se rapprocher rapidement de son établissement financier afin d’anticiper toute opération frauduleuse.
La plateforme intervenant.cnfpt.fr joue un rôle clé dans la gestion administrative des missions et des contrats des intervenants extérieurs du Centre national de la fonction publique territoriale. Son périmètre fonctionnel couvre le dépôt et la consultation de documents, la gestion des profils utilisateurs ainsi que la mise à disposition d’éléments nécessaires à la contractualisation des interventions. Le CNFPT précise que les documents antérieurs à mai 2022 n’étaient plus accessibles via la plateforme, à l’exception des curriculum vitae qui ont pu, dans certains cas, être conservés dans la base de données. Cette précision permet de circonscrire le champ des utilisateurs concernés et d’adapter les messages d’information.
Dans l’attente de la clôture de l’enquête, le CNFPT s’engage à maintenir une transparence totale vis-à-vis des utilisateurs de la plateforme. Les intervenants seront informés de toute évolution majeure concernant le périmètre de la fuite ou les suites judiciaires engagées contre les auteurs de l’attaque. Les autorités rappellent par ailleurs que toute personne victime d’une tentative d’escroquerie ou d’usurpation d’identité en lien avec cet incident peut saisir le service 17Cyber ou le portail officiel d’assistance en ligne pour les victimes de cybermalveillance.
merci à ZATAZ
