Selon une revendication non confirmée attribuée à STORMOUS, des comptes France Travail auraient été siphonnés via credential stuffing, avec extraction massive de documents et profils API ? Aucune preuve publique indépendante ne corrobore ces chiffres à ce stade.L’allégation découverte ce mardi matin signée par les pirates informatiques du groupe Stormous décrit une campagne automatisée utilisant des identifiants volés par des malwares voleurs d’informations pour se connecter comme des usagers légitimes, contourner des contrôles d’authentification, récupérer des jetons OAuth2 puis extraire en volume des données via des endpoints d’API. Les attaquants affirment 30 257 comptes déjà exfiltrés et 1 220 en cours, pour 30 Go de données et plus de 165 000 fichiers, dont des JSON de profil et des PDF sensibles. Ces éléments restent à vérifier. En contexte, France Travail a confirmé en juillet 2025 un incident distinct via la plateforme Kairos affectant environ 340 000 personnes, et avait déjà subi en 2024 une fuite massive. Ces précédents sont établis publiquement, contrairement aux éléments revendiqués ici.
Ce que revendique STORMOUS
D’abord, rappelons un peu qui est Stormous. Des hacktivistes prorusses achetant des données à d’autres pirates informatiques afin de mettre en place une pression médiatique à destination du pays visé. La note détectée par le Service de Veille de ZATAZ, attribuée à STORMOUS, datée d’octobre 2025, décrit un enchaînement en trois temps.
D’abord l’accès, par credential stuffing, à partir de couples identifiant/mot de passe issus de stealer logs. Le scénario décrit une automatisation des connexions, l’usurpation d’empreintes d’appareils pour ressembler à des navigateurs réels, l’utilisation d’OpenAM comme brique IAM et l’obtention de jetons d’accès OAuth2 accordant un accès complet aux API.
Ensuite l’extraction, via huit endpoints d’API non protégés selon les auteurs, comprenant données de profil, historique d’emploi, coordonnées, informations personnelles ainsi que des documents PDF. La note pointe une faille sur l’API backend de génération de PDF qui aurait permis de télécharger des pièces inaccessibles via le frontal. Enfin l’industrialisation, sans limitation de débit, sans CAPTCHA, sans détection de bots ni MFA, avec une opération prolongée sur plusieurs jours.
Côté volumétrie, la revendication agrège 30 257 comptes « confirmés », 1 220 « en cours », soit un total potentiel annoncé de 20 000 à 25 000 comptes impactés. Les auteurs comptabilisent 30 Go de données, dont 28,47 Go archivés en huit fichiers ZIP chiffrés et 2 Go non archivés, pour plus de 165 703 fichiers : environ 98 317 JSON et 67 386 PDF comprenant CNI, RIB, contrats de travail, bulletins de salaire, avis d’imposition, attestations sociales et documents de formation. Ils disent fournir une « COPY archive » de preuve, échantillon de 12 usagers et 216 fichiers totalisant 58,71 Mo. Rien de tout cela n’est aujourd’hui vérifié publiquement ; la diffusion de données sensibles appelle de toute façon à la retenue et à la protection des personnes. Le Service Veille de ZATAZ a pu constater des json contenant des informations d’individus, certains affichant identité, adresse, plaque d’immatriculation, Etc.Ce récit insiste sur l’argument « authentification légitime » plutôt que « intrusion d’infrastructure ». C’est un point rhétorique classique : l’attaquant cherche à déporter la faute perçue vers la réutilisation d’identifiants issus de postes compromis, tout en minimisant toute compromission du cœur SI. Il met également en avant des termes techniques précis, notamment OpenAM et OAuth2, pour crédibiliser le propos. L’esthétique reprend celle des communiqués de groupes de rançongiciels : sections en capitales, métriques détaillées, échantillon de preuves. Un classique chez Stromous qui avait déjà fait le coup, il y a quelques mois avec des données rachetées à d’autres hackers malveillants (qui pour certains les avaient récupéré à d’autres pirates informatiques.)
Incohérences et éléments à vérifier
Plusieurs zones grises sautent aux yeux. La liste des « identifiants en clair » parmi les données compromises surprend, puisque le scénario revendiqué repose sur des couples volés en dehors de France Travail. S’il s’agit de fuites externes, ils ne proviennent pas du SI cible. Si en revanche des mots de passe étaient stockés ou « réutilisables » côté service, l’assertion demanderait une preuve technique solide, inexistante ici. L’affirmation « endpoints non protégés » cohabite avec l’usage de jetons OAuth2, ce qui évoque plutôt des contrôles d’autorisations trop larges ou un manque de filtrage côté API que des endpoints réellement publics.
La mention d’un « contournement OpenAM en cinq étapes » est ambiguë. Sans MFA activée selon les auteurs, il pourrait s’agir d’une simple automatisation d’un flux standard d’authentification, pas d’un véritable contournement d’un contrôle additionnel. Là encore, la revendication ne fournit pas d’éléments techniques vérifiables. L’ampleur annoncée, 30 Go et 165 000 fichiers, mérite également corrélation. En l’absence de journalisation indépendante publiée, seule une enquête judiciaire et des analyses de journaux permettraient d’étayer ou d’infirmer ces volumes. Pour le moment, le Service de Veille de ZATAZ n’a constaté que des informations difficilement vérifiables.
Surtout, à la date du 28 octobre 2025, aucun communiqué officiel de France Travail ne confirme un incident correspondant à cette description. Les incidents documentés publiquement sont d’une autre nature : en mars 2024, une compromission massive a touché potentiellement 43 millions de personnes, événement encadré par la CNIL. En juillet 2025, un accès via le portail Kairos a exposé des données d’environ 340 000 personnes, avec des identifiants France Travail, adresses et coordonnées, mais sans mots de passe ni données bancaires, et un passage au 2FA annoncé. Ces points sont établis par l’autorité et par la presse. Ils ne valent pas validation des revendications actuelles.Stromous aurait signé des alliances avec d'autres pirates
"Dans notre cinquième édition (V5), nous annonçons une alliance stratégique réunissant six groupes RaaS, incluant leurs réseaux étendus, leur personnel affilié, leurs boîtes à outils malveillantes et leur infrastructure opérationnelle. Cette collaboration vise à créer un réseau cyber robuste et évolutif, avec pour objectif principal d’élargir les surfaces d’attaque, d’améliorer les capacités de mouvement latéral et d’optimiser l’efficacité des campagnes de rançongiciel." Stormous semble donc avoir des moyens de convaincre les groupes : Nova, DevMan Ransomwar, CoinBase Cartel, RADAR, Desolator et Kryptos de le rejoindre. A moins que Stormous était déjà caché sous ces différentes signatures.
Le paysage des revendications ajoute une complexité : fin septembre 2025, un autre groupe a affirmé avoir exfiltré 22,3 millions de dossiers liés à France Travail, allégation elle aussi non confirmée à ce jour. Les « ventes » se multiplient depuis des mois sur les différents forums.Le groupe STORMOUS, par ailleurs, a déjà été pointé par ZATAZ pour des déclarations non sourcées ou recyclant des données issues d’autres fuites. Cette réputation problématique ne suffit pas à invalider d’emblée la revendication, mais elle impose une prudence accrue et une exigence de preuves vérifiables.
Risques concrets et obligations si la revendication est exacte
Si le scénario décrit était avéré, l’impact pour les personnes serait sévère. La combinaison d’identité complète, de coordonnées, d’historique professionnel, de RIB, de CNI, de contrats et de bulletins de salaire crée un kit d’usurpation de haute qualité. Les fraudes bancaires, la fraude sociale et la pression psychologique par chantage ciblé deviennent probables. Les employés et demandeurs d’emploi victimes d’un piratage de comptes subiraient aussi des tentatives de prise de contrôle d’autres services, par réutilisation de mots de passe et par hameçonnage. Les données de formation et d’insertion, sensibles, peuvent être utilisées pour des arnaques contextualisées à forte crédibilité.
Si la faille évoquée sur l’API de génération de PDF est réelle, dissocier le backend documentaire des autorisations front, ajouter des vérifications côté serveur sur chaque téléchargement et tracer chaque accès document par document, avec alertes en cas de rafales ou d’accès intercomptes. L’argument « frontend défaillant » ne doit en aucun cas laisser une API backend livrer des pièces sans vérification d’autorisation. Mais j’avoue qu’en 30 ans d’existence, ZATAZ a vu passer plusieurs fois cette problématique de génération automatisé de documents.
Enfin, l’industrialisation supposée, « sans limitation, sans CAPTCHA, sans MFA », indique un défaut de hygiène défensive de base. Les environnements qui exposent des API de données personnelles doivent systématiser les protections : quotas, scoring de risque en temps réel, challenges progressifs, pièges à bots, signatures d’appareils non spoofables autant que possible et corrélation des logs entre IAM, API gateway et stockage. Un monitoring de masse des endpoints critiques, couplé à des tests d’intrusion et à une équipe de threat hunting focalisée données, réduit le temps de détection.
Renseignement, attribution et vérifiabilité
L’angle renseignement impose de distinguer le bruit des revendications de la réalité des logs. Les indices techniques présentés sont génériques et réutilisables pour de nombreuses cibles. Aucune TTP singulière ne ressort qui rattacherait de manière robuste la campagne à un acteur. La signature rhétorique du communiqué, les références à OpenAM et OAuth2, l’usage de métriques volumétriques et d’une « proof pack » en échantillon relèvent d’une mise en scène standard. L’affirmation d’une extraction sur des « endpoints non protégés » appellerait un mapping précis des routes et des scopes, absent ici.
La crédibilité des chiffres doit être mise à l’épreuve : cohérence entre volumes JSON et PDF, poids moyen par document, ratio comptes/fichiers, distribution temporelle des bulletins et contrats. Un ordre de grandeur de 30 Go pour 165 000 fichiers suggère une taille moyenne autour de 185 Ko : plausible pour des PDF compressés et des JSON de profils, sans rien prouver. Seul un examen des journaux d’API, des ACL, des jetons émis, des IP et des empreintes d’appareils permettra d’établir la chronologie, la surface exploitée et l’identité des sessions à l’origine des extractions.
À ce stade, la seule violation documentée publiquement en 2025 implique la plateforme Kairos et environ 340 000 personnes, et n’évoque pas d’accès à des PDF de bulletins ou de CNI. L’écart entre ce cas et la revendication actuelle est net. La prudence est donc la seule posture rationnelle tant qu’aucun élément indépendant ne vient étayer les propos de STORMOUS. Le rappel du track record du groupe, dont certaines revendications passées ont été contestées, ajoute un facteur de doute.
Que faire côté usagers et écosystème
Même en l’absence de confirmation, l’hypothèse de compromission de comptes individuels justifie des gestes immédiats : changement de mots de passe uniques et robustes, activation systématique du 2FA partout où il est disponible, vérification des boîtes mail liées, surveillance bancaire et attention accrue aux courriels d’offres d’emploi trop insistantes ou demandant des documents sensibles. Les communications officielles de 2024 et 2025 insistent d’ailleurs sur le risque de phishing ciblé après fuite d’identité. L’ANSSI et la CNIL ont déjà diffusé des rappels utiles en la matière.
merci à ZATAZ
