Cybermalveillance.gouv.fr Assistance et prévention du risque numérique

Comment faire face, en tant que recruteur, au piratage de son espace personnel sur un site d’emploi ?

Publié le 4 janv. 2019

arnaque pole emploi les arnaques réflexes en matière de sécurité au travail

731 Temps de lecture : 11 min

Le piratage de l’accès à l’espace personnel d’un recruteur sur un site d’emploi désigne sa prise de contrôle par un cybercriminel au détriment de l’organisation professionnelle à laquelle appartient ce compte. En pratique, les cybercriminels ont pu obtenir l’accès à ce compte par différents moyens : mot de passe trop simple, hameçonnage où vous avez pu communiquer votre mot de passe sans le savoir ou utilisation d’un même mot de passe sur différents espaces dont l’un a été piraté.
Dans le cas de l’hameçonnage, l’objet du message porte sur des sujets très divers : lutte contre la fraude, vérification de l’identité, diffusion de l’annonce, etc. En cas de non réponse, une mesure restrictive est souvent annoncée (fermeture de votre espace personnel…).

But recherché

Récupérer les identifiants et les mots de passe d’accès de l’espace personnel d’un recruteur pour en faire un usage frauduleux (vol de données personnelles, escroqueries financières, etc).

1. Quelles sont les mesures préventives ?

  • 1. Ne communiquez jamais d’informations sensibles par messagerie, par téléphone ou sur Internet :

    aucun site d’emploi sérieux ne vous demandera vos données bancaires ou vos mots de passe par message électronique ou par téléphone.

  • 2. Avant de cliquer sur un lien douteux, positionnez le curseur de votre souris sur ce lien

    (sans cliquer) ce qui affichera alors l’adresse vers laquelle il pointe réellement afin d’en vérifier la vraisemblance, ou allez directement sur le site d’emploi en question par un lien favori que vous aurez vous-même créé. 

  • 3. N’ouvrez pas les courriels, leurs pièces jointes et ne cliquez pas sur les liens

    provenant de chaînes de messages, d’expéditeurs inconnus ou d’un expéditeur connu, mais dont la structure du message est inhabituelle ou vide. 

  • 4. Vérifiez l’adresse du site qui s’affiche dans votre navigateur.

    Si cela ne correspond pas exactement au site concerné, c’est très certainement un site frauduleux. Parfois, un seul caractère peut changer dans l’adresse pour vous tromper.  

  • 5. En cas de doute, contactez si possible directement le site concerné

    pour confirmer le message ou l’appel que vous avez reçu.

  • 6. Utilisez des mots de passe différents et complexes pour chaque site et application

    que vous utilisez. 

  • 7. Si le site le permet, vérifiez les date et heure de la dernière connexion à votre compte 

    afin de repérer si des accès illégitimes ont été réalisés. 

  • 8. Activez la double authentification

    pour augmenter le niveau de sécurité si le site vous le permet. 

  • 9. Appliquez de manière régulière et systématique les mises à jour de sécurité

    du système et des logiciels installés sur votre machine.

  • 10. Déconnectez-vous systématiquement de votre espace personnel après utilisation

    pour éviter que quelqu’un puisse y accéder après vous.

2. Piratage de l’espace personnel d’un recruteur sur un site d’emploi : Que faire si vous êtes victime ?

  1. Si vous ne pouvez plus vous connecter à votre compte : prévenez immédiatement le site d’emploi concerné qui mettra en œuvre les mesures nécessaires (réinitialisation du mot de passe, suspension du compte de l’entreprise, etc.).

  2. Si vous pouvez encore vous connecter à votre compte : assurez-vous que votre numéro de téléphone et votre adresse mail de récupération soient les bons. Si ces coordonnées ne sont pas les vôtres, sauvegardez les preuves (capture d’écran, photo) et supprimez immédiatement ces adresses de messagerie et numéros de téléphone inconnus. Les cybercriminels pourraient les avoir inscrits pour garder le contrôle de votre compte ou de vos communications. Consulter l’aide du service concerné pour obtenir davantage d’informations ainsi que des conseils pour mieux sécuriser votre compte.

  3. Modifiez immédiatement votre mot de passe et choisissez-en un solide.
    Utilisez des mots de passes différents et complexes pour chaque site et application utilisés (retrouvez tous nos conseils pour gérer au mieux vos mots de passe).

  4. Activez la double authentification.  
    Si vous avez été victime d’un piratage et si cette option est disponible sur le site ou le service concerné, activez la double authentification : cela évitera qu’un tel piratage se reproduise en demandant à toute nouvelle connexion à votre compte un code de confirmation supplémentaire que vous seul aurez (en le recevant par SMS par exemple). Retrouvez notre vidéo sur la double authentification.

  5. Prévenez systématiquement le site d’emploi dans tous les cas : prévenez systématiquement et au plus vite le site d’emploi du piratage dont vous avez été victime si cela n’a pas été réalisé.

  6. Si vous avez encore accès à votre espace personnel, modifiez immédiatement votre mot de passe et mettez-en un solide.

  7. Changez sans tarder le mot de passe piraté sur tous les autres sites ou comptes sur lesquels vous pouviez l’utiliser : cela permettra d’éviter que les cybercriminels ne s’y connectent et vous y portent également préjudice.

  8. Prévenez les candidats contactés par le fraudeur ou faites-les prévenir : si vous avez connaissance de l’identité des candidats contactés par le fraudeur, prévenez-les ou fautes-les prévenir par le site d’emploi pour qu’ils ne donnent pas suite aux contacts suspects.

  9. Vérifiez qu’aucune publication ou action vers des candidats potentiels n’ont été réalisées avec le compte piraté, en fonction des fonctionnalités du site. Si c’est le cas, sauvegardez les preuves (capture d’écran, photo) et supprimez ces publications en contactant le service concerné au besoin.

  10. Prévenez immédiatement votre banque si vos coordonnées bancaires étaient disponibles sur le compte piraté : si vos coordonnées de carte bancaire étaient disponibles sur le compte piraté, surveillez vos comptes, prévenez immédiatement votre banque et faites au besoin opposition aux moyens de paiement concernés.

  11. Déposez plainte : que vous soyez victime d’une tentative d’escroquerie, d’un vol de données personnelles ou d’une escroquerie financière, déposez plainte au commissariat de police ou à la brigade de gendarmerie, ou en écrivant au procureur de la République dont vous dépendez. Ce dépôt de plainte vous aidera dans vos futures démarches en cas d’usurpation de votre identité. Il est possible de déposer une pré-plainte en ligne. Pour qu’elle soit enregistrée comme une plainte, vous devrez cependant signer cette déclaration auprès d’une unité de gendarmerie ou un service de police de votre choix.
En fonction du cas d’espèce, les infractions suivantes peuvent être retenues :

Escroquerie (article 313-1 du code pénal) : l’escroquerie est le fait, soit par l’usage d’un faux nom ou d’une fausse qualité, soit par l’abus d’une qualité vraie, soit par l’emploi de manœuvres frauduleuses, de tromper une personne physique ou morale et de la déterminer ainsi, à son préjudice ou au préjudice d’un tiers, à remettre des fonds, des valeurs ou un bien quelconque, à fournir un service ou à consentir un acte opérant obligation ou décharge. L’escroquerie est punie de cinq ans d’emprisonnement et de 375 000 euros d’amende.
Collecte de données à caractère personnel par un moyen frauduleux, déloyal ou illicite (article 226-18 du code pénal) : le fait de collecter des données à caractère personnel par un moyen frauduleux, déloyal ou illicite est puni de cinq ans d’emprisonnement et de 300 000 euros d’amende.
Usurpation d’identité (article 226-4-1 du code pénal) : le fait d’usurper l’identité d’un tiers ou de faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération, est puni d’un an d’emprisonnement et de 15 000 € d’amende.
Cette infraction est punie des mêmes peines lorsqu’elle est commise sur un réseau de communication au public en ligne.
Accès frauduleux à un système de traitement automatisé de données (article 323-1 du code pénal) : le fait d’accéder ou de se maintenir, frauduleusement, dans tout ou partie d’un système de traitement automatisé de données est passible de deux ans d’emprisonnement et de 60 000 euros d’amende. Lorsqu’il en est résulté soit la suppression ou la modification de données contenues dans le système, soit une altération du fonctionnement de ce système, la peine est de trois ans d’emprisonnement et de 100 000 euros d’amende.

Fiche réflexe réalisée en partenariat avec :

pôle emploi

Avez-vous trouvé cette fiche intéressante ?

Laissez-nous un commentaire afin que nous puissions nous améliorer :

* le commentaire ne sera pas visible aux yeux de tous

Vous pensez être victime d'un acte de malveillance numérique ?

Lancer le diagnostic

Autres Fiches réflexes