France Travail suffered a cyberattack attributed to the Russian cybercriminal group **Stormous**, resulting in the theft of personal data from **31,000 job seekers**. The attackers exploited **infostealer malware** installed on victims' personal computers to harvest login credentials, enabling unauthorized access to France Travail’s systems. Compromised data includes **names, dates of birth, addresses, phone numbers, emails, passwords, ID cards, bank statements, tax notices, social security records, and professional histories** (contracts, skills, training). While France Travail acknowledges the breach, it cannot confirm the full scope of exposed data or the exact number of affected individuals. The stolen information poses risks of **phishing, identity theft, and financial fraud**. This incident follows prior breaches in **July 2025 (340,000 records)** and **March 2024 (43 million records)**, highlighting persistent vulnerabilities in the agency’s security posture. France Travail advises users to strengthen password security but has not mandated password resets.
TPRM report: https://www.rankiteo.com/company/francetravail
"id": "fra2692726102925",
"linkid": "francetravail",
"type": "Cyber Attack",
"date": "3/2024",
"severity": "85",
"impact": "4",
"explanation": "Attack with significant impact with customers data leaks"{'affected_entities': [{'customers_affected': '31 000 (estimé)',
'industry': 'emploi et services publics',
'location': 'France',
'name': 'France Travail',
'type': 'agence gouvernementale'}],
'attack_vector': ['logiciels malveillants (infostealers)',
'accès légitime via credentials volés'],
'customer_advisories': ['risque de phishing accru ; surveillance des comptes '
'bancaires recommandée'],
'data_breach': {'data_exfiltration': True,
'number_of_records_exposed': '31 000 (estimé, non confirmé)',
'personally_identifiable_information': True,
'sensitivity_of_data': 'très élevée (données personnelles et '
'financières)',
'type_of_data_compromised': ["noms d'utilisateurs",
'mots de passe',
'noms complets',
'dates de naissance',
'adresses',
'numéros de téléphone',
'emails',
"cartes d'identité",
"relevés d'identité bancaire",
"avis d'imposition",
'attestations de sécurité '
'sociale',
'formations',
'contrats de travail',
'compétences professionnelles',
'parcours professionnels']},
'date_detected': '2025-10-29',
'date_publicly_disclosed': '2025-10-29',
'description': 'France Travail a subi une cyberattaque revendiquée par le '
'groupe Stormous, compromettant les données personnelles '
"d'environ 31 000 demandeurs d'emploi. Les pirates affirment "
'avoir accédé à des informations sensibles telles que les '
"noms, adresses, numéros de téléphone, cartes d'identité, "
"relevés bancaires, avis d'imposition et données "
"professionnelles. L'attaque a été réalisée via des logiciels "
'malveillants (infostealers) installés sur les ordinateurs '
'personnels des victimes, permettant un accès légitime au '
'système de France Travail.',
'impact': {'brand_reputation_impact': 'risque élevé (récidive après incidents '
'de 2024 et juillet 2025)',
'data_compromised': True,
'identity_theft_risk': 'élevé (données sensibles exposées)',
'operational_impact': 'enquête en cours',
'payment_information_risk': 'élevé (relevés bancaires et avis '
"d'imposition compromis)",
'systems_affected': ["système d'information de France Travail "
'(accès via comptes utilisateurs compromis)']},
'initial_access_broker': {'data_sold_on_dark_web': True,
'entry_point': 'ordinateurs personnels des '
"demandeurs d'emploi (via "
'infostealers)',
'high_value_targets': ['données personnelles et '
'professionnelles des '
"demandeurs d'emploi"]},
'investigation_status': 'en cours (équipes internes de France Travail)',
'motivation': ['vol de données', 'revente sur le dark web', 'phishing futur'],
'post_incident_analysis': {'root_causes': ["utilisation d'infostealers sur "
'les terminaux personnels',
'réutilisation de credentials '
'compromis',
'manque de contrôle sur les '
'appareils personnels accédant au '
'système']},
'ransomware': {'data_exfiltration': True},
'recommendations': ['renforcement de la sensibilisation des utilisateurs aux '
'infostealers',
'mise en place de solutions de détection des malwares sur '
'les terminaux personnels',
'authentification multifacteur (MFA) obligatoire',
'surveillance proactive des credentials exposés sur le '
'dark web'],
'references': [{'date_accessed': '2025-10-29', 'source': 'Tech & Co'}],
'response': {'communication_strategy': ["confirmation publique de l'incident "
'via Tech & Co'],
'containment_measures': ['enquête interne en cours'],
'incident_response_plan_activated': True,
'remediation_measures': ['rappel aux utilisateurs sur la '
'robustesse des mots de passe']},
'stakeholder_advisories': ['vigilance accrue sur la robustesse des mots de '
'passe'],
'threat_actor': "Stormous (groupe cybercriminel d'origine russe)",
'title': 'Cyberattaque et vol de données chez France Travail affectant 31 000 '
"demandeurs d'emploi",
'type': ['cyberattaque', 'vol de données', 'compromission de comptes'],
'vulnerability_exploited': ['faiblesse des mots de passe utilisateurs',
'manque de protection des terminaux personnels']}