Supposées épauler le retour à l’emploi, les petites annonces de Pôle emploi sont sclérosées d’annonces fallacieuses. Des escrocs exploitent la faible sécurisation de la plateforme pour récolter les données personnelles des candidats et leur proposer directement des emplois frauduleux. Notre enquête montre combien il est beaucoup trop facile pour n’importe qui d’avoir accès aux informations personnelles de nombreux demandeurs d’emploi en France.

Furieuse, Fiona claque la porte d’un appartement lillois. La jeune femme pensait passer un entretien pour un poste d’hôtesse d’accueil dans un hôtel au Touquet. Elle s’est vu proposer une position d‘escort-girl. L’annonce à laquelle elle répondait provient pourtant du site de Pôle emploi, et possédait les caractéristiques d’une offre classique émise par une agence d’événementiel. Interloquée, Fiona en fait part à son conseiller Pôle emploi. « Il m’a dit que c’était trop compliqué de tout gérer, qu’ils ne peuvent pas forcément déceler les fausses annonces », se remémore la jeune femme avec dépit.

L’expérience de Fiona n’est pas isolée : les offres frauduleuses abondent sur le site de Pôle emploi. Désormais, de nombreux « recruteurs » ne s’embarrassent plus de poster leurs offres sur la plateforme, et expédient directement des propositions douteuses dans les boîtes mails des demandeurs d’emploi. Au choix parmi les postes proposés : collecte de loyers impayés, mise sous pli d’enveloppe de publicités, chargé d’accueil en magasin ou chauffeurs d’un jour. Les offres varient, mais toutes sont des escroqueries. « Dans l’ensemble, les offres se ressemblent, outre les fautes d’orthographe : un travail simple et bien rémunéré », explique Mélanie, jeune femme inscrite sur la plateforme. « Quasiment tous les mois je recevais des mails comme ceux-ci, pour des ‘missions’ diverses et variées », abonde Edouard, dans la même situation.

Un exemple de message envoyé aux demandeurs d'emploi

Un exemple de message envoyé aux demandeurs d'emploi

Des données beaucoup trop faciles d’accès

Le site de Pôle emploi démontre-t-il des failles dans la vérification des offres d’embauches et la protection des informations personnelles des postulants ? Pour le vérifier, nous nous sommes inscrits sur la plateforme pour tester la difficulté de récolter des informations personnelles. Son maniement est aisé. Du côté des futurs employés, la plateforme incite à remplir un curriculum en ligne indiquant ses précédentes expériences professionnelles, ses aspirations en termes d’emploi, de prétentions salariales… Et surtout ses informations de contact pour être joint rapidement : numéro de téléphone et adresse e-mail. Pôle emploi incite également à y joindre un CV très renseigné pour optimiser les chances de décrocher un emploi.

Côté employeurs, deux solutions existent pour consulter les profils des demandeurs d’emploi avant de les contacter. La première consiste à se déclarer « particulier employeur ». Les procédures sont alors facilitées : l’inscription ne prend que quelques minutes et nécessite nom, prénom, date et lieu de naissance, ainsi que l’adresse de résidence. Des éléments faciles à se procurer. Puis le numéro de carte vitale, moins aisé à falsifier. Mais un numéro personnel suffit : aucune vérification complémentaire ne sera effectuée en aval de nos recherches.

Nous avons créé notre profil en moins de 10 minutes sur Pôle Emploi // Source : Numerama

Nous avons créé notre profil en moins de 10 minutes sur Pôle Emploi

Source : Numerama

Une fois inscrit, un onglet permet de déposer des offres d’embauche. Un autre de rechercher des profils de candidats, puis d’affiner la sélection à l’aide de critères : type de métier, intitulé du poste, lieu de travail, disponibilité, expérience, formation… Choisissons un profil d’hôtesse d’accueil, disponible immédiatement en région lyonnaise, pour un contrat à durée déterminée d’un mois, et dotée d’un bac +2.

2 459 profils s’affichent, du plus récent au plus ancien.

Premier résultat : une chargée d’accueil, disponible immédiatement à Lyon. Une icône permet de télécharger son CV d’un clic. Devant nous s’affiche la photo de Stéphanie*, 25 ans, son numéro de téléphone mobile, son e-mail personnel, son adresse de résidence, sa date de naissance, ainsi que l’ensemble de ses expériences professionnelles. Le deuxième profil, celui de Lise*, est tout aussi riche d’informations. Puis viennent Kamalia*, Sophie*, Astrid*… L’avalanche de C.V. est de données disponibles donne le tournis. La facilité pour y accéder crée le malaise. Ni Stéphanie, ni Lise, ni Kamalia ne sauront qui a consulté leurs informations. Aucune notification n’est envoyée aux postulants au téléchargement de leur C.V. Tout juste ont-elles connaissance du nombre de vues sur leur profil.

Des exemples de CV auxquels il est facile d'avoir accès sur Pôle Emploi // Source : Floutage Numerama

Des exemples de CV auxquels il est facile d'avoir accès sur Pôle Emploi

Source : Floutage Numerama

Il est impossible d’avoir une estimation précise du nombre de CV de Français qui sont accessibles quasiment librement sur la plateforme, mais au vu de nos recherches et estimations, il est évident que cela se chiffre au moins en dizaine de milliers. Lorsque l’on cherche à télécharger un CV, il arrive de tomber directement sur toutes les données personnelles de la personnes sous forme de PDF (cf capture ci-dessus), mais il arrive aussi d’avoir des informations plus parcellaires, comme « juste » une adresse mail et un patronyme.

Usurpation d’identité et annonces truquées

Seconde solution pour accéder à cette masse de données : le compte entreprise. Premier écueil : celui-ci demande un numéro de portable et un numéro de SIRET pour s’inscrire. Ce barrage n’a pas refroidi les imposteurs, qui se contentent de copier l’identité de vrais employeurs avant de contacter directement les demandeurs d’emploi. Des offres tendent à prouver que l’usurpation d’identité est fréquente.

Mélanie a, elle, reçu des propositions d’emploi signées du nom de réels dirigeants de magasins proches de chez elle, mais suspectes car similaires au mot près, et toutes proposant des conditions d’embauches suspicieuses. Après vérification, il s’agissait systématiquement d’usurpation d’identité.

Certains employeurs frauduleux ne s’embarrassent pas d’une fausse identité. Dans le cas de Fiona, l’agence d’événementiel a toujours pignon sur rue. La responsable du recrutement lui aurait expliqué « [qu’elle] ne peut pas poster une annonce de recherche d’hôtesse comme ça, [qu’elle] avait besoin de tourner l’annonce autrement pour qu’elle soit acceptée ». L’agence concernée continue encore aujourd’hui de publier des annonces sur le site de Pôle emploi.

Pourquoi ces faiblesses de Pôle emploi sont-elles si graves ?

Pour aller plus loin, et donner plus de clés de compréhension, nous accompagnons cette enquête d’un article de notre journaliste spécialisé en cybersécurité : voici comment des malfaiteurs peuvent très facilement exploiter les faiblesses de Pôle Emploi.

Cette pratique interroge sur la politique interne de Pôle emploi vis-à-vis du respect des données personnelles. Si faciliter l’accès à l’emploi nécessite de faciliter l’accès aux profils des futurs employés, la plateforme semble concentrer l’attention des arnaqueurs. « Il y a un grand défaut de sécurité si n’importe qui peut se faire passer pour employeur et avoir accès à des données comme ça, souligne Mélanie, j’ai mon profil avec CV, coordonnées disponibles sur d’autres sites comme Indeed ou Linkedin, je n’ai jamais reçu aucune offre frauduleuse en comparaison. » Une question d’autant plus d’actualité que les répercussions économiques de la crise sanitaire entraînent la recrudescence des demandeurs d’emploi en situation précaire, et donc à la merci de ces propositions malveillantes.

351 dénonciations de fraudes entre juin et décembre 2019

Sollicité à plusieurs reprises depuis le 1er décembre, Pôle emploi a préféré répondre par mail aux questions de Numerama, dans un exercice de communication tout en contrôle : « Pôle emploi a entrepris depuis plusieurs années des actions pour mettre en place des systèmes fondés sur des algorithmes et de l’intelligence artificielle de détection d’offres ou de recherche de profils suspectes ; certifier la création et l’accès aux comptes recruteurs/particuliers employeurs ; former ses conseillers pour mieux repérer les offres suspectes ou les pratiques de recherche de profils suspectes ; mener des campagnes régulières de sensibilisation auprès des candidats et recruteurs sur les bonnes pratiques en matière de protection de leurs données. »

Des actions conjointes ont également été menées avec différentes instances publiques en charge de la prévention, la lutte ou la poursuite de la cybercriminalité. « À titre d’exemple, le site cybermalveillance.gouv.fr a créé avec Pôle emploi une rubrique dédiée aux risques liés à l’emploi au recrutement tant pour les candidats que les recruteurs », souligne Pôle Emploi.

L’institution l’assure, toutes ces démarches auraient permis de « diminuer significativement le nombre d’offres d’emploi et de contacts suspects sur le site pole-emploi.fr ». Une affirmation contredite par le rapport du Médiateur National sur Pôle emploi publié en mars 2020 : « Malgré [un arsenal de mesures], les signalements ont continué d’affluer, motivant de nouvelles alertes dans [l]es rapports 2016 et 2017. Après une relative accalmie en 2018, les réclamations ont repris à l’été 2019, avec une acuité particulière. » Soit plus de 351 démarches entamés par des demandeurs d’emploi entre juin et décembre 2019 pour dénoncer des tentatives de fraudes. Aujourd’hui encore, la plateforme du gouvernement demeure une bibliothèque d’information à disposition des escrocs, qui ne se privent pas d’en dérober les registres.

*Pour protéger leur anonymat, ces prénoms ont été modifiés.


Si vous avez aimé cet article, vous aimerez les suivants : ne les manquez pas en vous abonnant à Numerama sur Google News.