Suite à un piratage, Adecco a lancé début novembre une enquête. La société donne de plus amples informations : « certaines de vos données personnelles présentes dans un de nos systèmes d’informations (noms, prénoms, adresses emails, numéros de sécurité sociale et coordonnées bancaires) ont été potentiellement divulguées ». La prudence est de mise.
Début novembre, Adecco était victime d’un piratage. Dans la foulée, « des centaines d'intérimaires des agences d'emploi Adecco se dis[aient] victimes d'un prélèvement sur leur compte bancaire d'un montant de 49,85 euros », comme l’expliquaient alors plusieurs de nos confrères.
Même son de cloche du côté de la CGT Adecco : « Suite au piratage qu'a subi Adecco, plusieurs salarié(e)s ont subi des prélèvements frauduleux ont eu lieu sur les comptes bancaires de salarié(e)s ». Le syndicat annonçait également saisir « la direction de Adecco pour lui sommer de s'expliquer et de prendre des mesures drastiques pour la protection des données ».
La CGT en mode « Coïncidence ? Je ne pense pas... »
De son côté, la société confirmait le piratage et publiait une « réaction » officielle : « plusieurs témoignages sur les réseaux sociaux faisant état de prélèvements d’une somme de 49,85 euros par la société "Solfex France SASU", que nous ne connaissons pas et qui n’appartient pas au groupe Adecco ».
La société d’intérim ajoutait qu’une enquête interne était ouverte, mais que, « à ce jour, aucun lien n’a été établi entre ces prélèvements frauduleux effectués par une société tierce et les missions de nos intérimaires ». Elle ajoutait poursuivre son enquête, collaborer avec les autorités compétentes et mettre « en place tous les dispositifs pour accompagner au mieux » les intérimaires.
Une communication tardive, selon CGT Interim : « Quand on est précaire, 49,85 euros, ça compte. Visiblement, pas pour la direction de Adecco qui a tardé à communiquer, et c'est la presse qui s'est emparée du sujet. Devant le tollé médiatique, la direction de Adecco a juste dit "aucun rapport de cause à effet entre le piratage et les prélèvements, on a rappelé la procédure à suivre"... Or, diverses pistes laissent voir que ces données ont bien fuité sur le darknet, et ce dès le lendemain de la constatation du piratage, et les prélèvements ont commencé... ».
Le syndicat s’inquiétait : « si d'autres données ont fuité (ce que nous craignons le plus), les faits déjà graves peuvent encore s'aggraver ». Même chose à la CFDT : « La question de la sécurité informatique se pose, quid de nos données personnelles et bancaires ? ».
Depuis, les choses s’étaient tassées, mais de nouvelles précisions ont été envoyées aux intérimaires concernés. Contactée, la société nous confirme qu’une enquête de police judiciaire est toujours en cours et qu’elle ne peut donc pas donner tous les détails.
Noms, emails, numéros de sécu et coordonnées bancaires
À la veille du week-end de Noël, certains candidats et intérimaires ont reçu un email ; ils avaient déjà été contactés dès début novembre, nous affirme la société. Dans ce message – dont nous avons une copie – l’entreprise explique avoir « été victime d’une tentative d’extraction de données » :
« Certaines de vos données personnelles présentes dans un de nos systèmes d’informations (noms, prénoms, adresses emails, numéros de sécurité sociale et coordonnées bancaires) ont été potentiellement divulguées. Nous le regrettons profondément et vous présentons toutes nos excuses pour les difficultés que cela pourrait occasionner ».
Les risques liés aux IBAN dans la nature
Il n’est pas précisé quelles sont les « coordonnées bancaires », mais plus loin dans son email Adecco conseille de « prévenir votre banque de la divulgation potentielle de votre IBAN ». Comme le rappelle la Banque de France (page 41), « l’IBAN est considéré en France comme une donnée pouvant faire l’objet de détournements frauduleux ».
L’institution détaille deux modes opératoires :
- « Acheteur frauduleux : un fraudeur peut remplir un mandat de prélèvement avec un IBAN usurpé. On parle alors d’usurpation d’IBAN pour la souscription d’un service. Cette fraude s’intègre souvent dans des schémas d’usurpation d’identité.
- Créancier frauduleux : un fraudeur se fait enregistrer en tant que créancier par une banque et demande un identifiant de créancier SEPA (ICS), qui lui permet ensuite d’initier des prélèvements illégitimes sur la base d’IBAN collectés frauduleusement ».
Bien évidemment, Adecco précise une nouvelle fois avoir « pris les mesures nécessaires pour pallier cette situation et sécuriser encore davantage les données qui [lui] sont confiées, en modifiant notamment l’organisation de [ses] systèmes d’information tant sur le plan technique que fonctionnel ».
Adecco attend le résultat de l’enquête de police judiciaire
Nous avons contacté le service presse qui – fait suffisamment rare pour être souligné – a répondu à nos questions moins de 30 minutes après notre première demande. La société nous confirme pour commencer qu’il s’agit bien de « la suite de ce qui s’est passé en novembre ». L’enquête ayant avancé, de nouvelles informations sont envoyées aux intérimaires, particulièrement avec le détail des données concernées par la fuite.
Nous n’aurons pas de précisions supplémentaires, notamment sur le nombre de personnes touchées, les causes de cette fuite et la délicate question des prélèvements frauduleux, car « une enquête de la police judiciaire » est toujours en cours. « Nous, à ce stade, on ne peut pas commenter […] C’est l’enquête de la police judiciaire qui va déterminer tout cela », ajoute simplement la société.
Les conseils d’Adecco
Dans l’email de la semaine dernière, Adecco donne des conseils pour se prémunir d’éventuelles fâcheuses conséquences. Tout d’abord, « prévenir votre banque de la divulgation potentielle de votre IBAN (coordonnées bancaires) et d’identifier avec elle les moyens adéquats pour prévenir tout risque d'agissement frauduleux à votre détriment ».
Pour le reste, il s’agit de conseils assez classiques sur les risques de phishing. Dans ce genre de situation, c’est un peu toujours la même chose : des personnes malintentionnées pourraient essayer de se faire passer pour Adecco (en s’appuyant sur les données ayant fuité).
La société indique enfin une adresse email et un numéro de téléphone gratuit pour toute question ou demande d’aide liées à cet incident.
Commentaires (27)
#1
Avec la législation européenne sur les prélèvements qui a renversé la règle pour les banques : par défaut les prélèvements sont autorisés à moins que vous manifestiez dans le mois (les quelques mois) qui suit-vent votre désaccord, l’IBAN dans la nature, c’est la porte ouverte à multitude d’escrocs. D’autant que la plupart des banques ne se bousculent pas pour indiquer comment créer des listes blanches de organismes autorisées voire font payer cette protection…
#2
J’ai reçu un mail aujourd’hui à 12h08, et rien en novembre. Ils vont m’entendre.
#3
Ca enchaîne dites donc… Et ça va pas ralentir je pense.
#4
Reçu le mail aujourd’hui… par contre, j’ai arrêté de travailler pour ADECCO depuis 2012
Comment se fait-il qu’ils aient toujours mes informations ?
Le RGPD ne s’applique pas chez eux ?
#4.1
Merci pour l’info, je comptais les appeler car j’ai travaillé pour eux en 2008, et je me rappelle plus du mail que j’avais communiqué à l’époque.
#4.2
Si j’en crois leur politique de données personnelles pour les intérimaires, la conservation est de sept ans.
Donc pour le coup tu peux te rapprocher de leur DPO pour qu’il explique le fait qu’ils aient tes informations depuis 10 ans.
#5
Un truc que j’apprécie chez n26, c’est qu’on voit les prélèvements en approche. Une sécurité face à cette bêtise du SEPA en prélèvement.
Bon la banque a d’autres problèmes en mode startup…
Toujours étonné qu’on ne rajoute pas une clé à 4 chiffres pour les iban en mode prélèvement, ou une validation à faire en 72h côté banque à la mise en place.
#6
Côté Caisse d’Epargne aussi, je suis également alerté d’un premier prélèvement sur un nouveau mandat.
#7
Mais y avait pas un papier à envoyer signé à la banque pour autoriser ça ? Je me fait braire depuis des années pour rien ?
La seule sécurité que j’imaginais exister sur ce truc n’est que du vent…
Je réalise la quantité d’agence immobilière qui doit avoir des données sensibles sur moi depuis des années (car au chiottes les durées de conservations surtout dans les petites)… Je vais envoyer des mails prochainement…
#7.1
la quantité d’agences (en général) qui doivent avoir mes données sensibles
et.comme on lit, de+en+ souvent, que “X ou Y’ s’est fait pirater ses Serveurs…
#8
Et au niveau du numéro de sécu ? Quels sont les risques une fois dans la nature ? On ne peut pas le changer non ?
Sinon pour moi aussi ça fait 9ans probablement sans connexion ni utilisation de leur services, et ils ont encore mes data.
#8.1
Le numéro de sécu est déjà un numéro partagé. Tu dois le donner à tes médecins, tes mutuelles, tes employeurs, tes opticiens,(tes parents, ta femme)…
Seul, il ne permet normalement pas de réaliser des attaques vers son possesseur.
Un professionnel peut éventuellement l’utiliser à l’insu de son possesseur, pour facturer des actes fictifs/indus, mais ce sera la sécu qui se fait avoir pas l’assuré. Et la sécu détecte ces plus grosses fraudes.
Il y a peut-être eu des trucs mal sécurisés avant, mais autant que je sache plus aujourd’hui.
#9
Ca permet de justifier que c’est bien un prélèvement validé de ta part, si besoin. Mais il n’y a aucune obligation légale.
#10
c’est la presse qui s’est emparée du sujet. Devant le tollé médiatique
la direction de Adecco a juste dit….
c’est (malheureusement) souvent comme ça que ça se passe, SI la Presse
ne se bouge pas, il NE se passe rien (c’est le Monde dans lequel on vit) !!!
#11
J’étais déja au courant de cette histoire via le travail … mais merci pour le complément d’information !
PS : Etant client chez eu on a jamais eu le moindre probleme .
#12
Pour le numéro de sécu, pendant longtemps il suffisait pour siphonner ton CPF. Heureusement, cela a enfin été réglé. Il était temps
Je me demande aussi si d’autres services sont aussi vulnérables, mais à nôtre époque j’ose espérer que non.
#13
Ce qui est un peu absurde, c’est que pour les nouveaux virements sortants c’est Fort Knox avec authentification 2FA et SMS de confirmation, alors que le mandat SEPA démarre sans trop de contrôles, alors qu’il suffirait d’indiquer qu’un établissement vient d’enregistrer une demande de prélèvement… Bon après, vu qu’il est aussi plus facile à contester, et ma banque propose aussi de le plafonner, de limiter le nombre de transactions par mois, etc., il y a de quoi compenser.
En tout cas en France le n° de sécu n’est pas aussi crucial qu’aux USA. Attention quand même à France Connect qui peut utiliser le n° de sécu pour une connexion à plein de services via Ameli ! C’est donc une partie de son identification publique qui est compromise…
#14
Du coup, où trouver l’adresse ou le numéro de téléphone ?
Les seuls que j’ai eu, c’est sur le communiqué et c’est pour la presse.
#15
Il n’ya aucun risque à avoir son IBAN dans la nature, d’ailleurs il suffit d’aller sur wikipedia pour trouver l’algo de génération de clé d’IBAN !
Tout prélèvement SEPA peut être annulé gratuitement jusqu’à 13 mois après le premier prélèvement : C’est écrit en tout petit sur tous les mandats de prélèvements, et attention aux banques qui essaient souvent de facturer : l’opposition est payante, l’annulation est gratuite.
#16
Un virement ne peut pas être annulé d’où les sécurités, un prélèvement peut être annulé sans aucun problème (d’où le fait qu’il n’y ait pas besoin d’aucune sécurité).
#17
Le n° de secu contient la date de naissance, le sexe de la personne, le Lieu de naissance et on peut savoir si la personne est née à l’étranger ou en France
#17.1
Je ne répondais qu’à la question précise
Tu élargis le débat, au contenu du numéro qui est signifiant. Ce que tu dis est exact, mais une c’est autre facette de ce numéro…
#18
Adecco a plusieurs entités qui ne doivent pas avoir la même base de donnée: j’ai été intérimaire chez Adecco Médical, mais je recevais des SMS d’Adecco (tout court). J’ai demandé en juin à Adecco les informations qu’ils avaient sur moi et ensuite seulement leur suppression. Adecco Medical possède des informations plus récente sur moi, car j’ai travaillé avec eux cet été.
=> L’article et les communiqués ne précisent pas si c’est tout le groupe Adecco ou bien une seule de ses filiales qui a subit l’attaque.
Je ne suis pas surpris d’une fuite. En 2019, Adecco Medical m’a envoyé le certificat de travail et le bulletin salaire d’un confrère. J’ignore comment la confusion a pu se passer, si c’est humain ou bien un défaut au niveau logiciel. Mais pour remonter ce problème qui peut être le symptômes d’une fuite plus massive, le WE c’est compliqué: le service informatique ne peut recevoir que des courriels en @adecco.com ou nom de domaine équivalent et les agences sont plus ou moins fermées…
Je suis bien content d’avoir mis en place une liste blanche et d’avoir changé de banque pour cela. Fini les prélèvement par EDF, alors que l’on est plus client chez eux (et la conseillère de la banque qui ne voir pas le problème).
#18.1
(et la conseillère de la banque qui ne voir pas le problème)
ça..c’est comme pour tout :
#18.2
C’est plutôt pas: la suivante, je lui demandé comment mettre en place la liste blanche des prélèvement dont parlais le propre site web de la banque
Jamais une seule conseillère n’a pu me répondre.
“It’s not a bug, it’s a feature”
#19
C’est en partie erronnée, la date de naissance ne comprend pas le jour, seulement le mois et l’année.
#19.1
les 4.5.6.7ème chiffres, non ?