Skip to content
hacker_posts

Akaolife : 14,4 millions d'enregistrements RH revendiqués, France Travail dans la ligne de mire

Misere et ChimeraZ revendiquent le 24 juin 2026 une intrusion chez Akaolife, prestataire RH de France Travail Île-de-France. 14,4 M lignes, 38 138 dossiers médicaux. Pas de confirmation officielle.

Publié le 5 min de lecture
fuiteakaolifefrance-travailchimerazmisere

Le 24 juin 2026, les pseudonymes Misere et ChimeraZ ont co-revendiqué, sur un forum cybercriminel, une intrusion dans l'infrastructure d'Akaolife, éditeur français de logiciels RH (gestion documentaire, mobilité interne, médecine du travail, dossiers administratifs). Akaolife est cité comme prestataire de France Travail Île-de-France. Les attaquants annoncent 14,4 millions d'enregistrements, environ 21 Go de données, et menacent une publication intégrale sous sept jours sans paiement de 1 000 dollars en Monero. Le signalement primaire est à lire chez ZATAZ et la consolidation des chiffres revendiqués chez cyberattaque.org. FrenchBreaches recoupe l'évaluation côté population concernée.

Aucune communication d'Akaolife, de Sage — qui a racheté Akaolife en 2026 — ou de France Travail n'a été identifiée à ce stade.

Ce qui est revendiqué

Sur le serveur compromis, les auteurs déclarent avoir extrait :

  • 966 816 fiches RH.
  • 1 003 047 demandes de mobilité professionnelle.
  • 38 138 dossiers de médecine du travail.
  • 3 747 dossiers liés au handicap.
  • 26 684 mots de passe en clair.
  • Les bases SQL complètes, le code source applicatif (revendiqué autour de 10 000 fichiers PHP), des clés SSL privées et des sauvegardes prêtes à rejouer.

L'échantillon publié pour valider la revendication couvre les huit applications Akaolife hébergées sur le même serveur — gestion documentaire, mobilité, médecine du travail, suivi handicap, gestion administrative.

Comment ils disent être entrés

La revendication détaille un cocktail de défauts de configuration qui, s'il est exact, est instructif sur l'état réel de la cible :

  • Un serveur phpMyAdmin 4.8.3 vulnérable, accessible depuis Internet.
  • Des répertoires Web entièrement listables sans contrôle d'accès.
  • Les mêmes mots de passe d'administration MySQL réutilisés sur l'ensemble des applications.
  • Des mots de passe stockés en clair dans les fichiers de configuration.
  • Les clés SSL privées déposées au même endroit, lisibles.
  • Des sauvegardes SQL et le code source consultables après compromission initiale.

Aucune de ces affirmations n'est confirmée par Akaolife. Mais le profil — une seule machine, plusieurs applications coresidentes, mutualisation des secrets — est cohérent avec les revendications observées sur d'autres victimes du même duo.

Statut de l'attribution

L'attribution est revendiquée par Misere et ChimeraZ, deux pseudonymes qui apparaissent désormais ensemble sur plusieurs opérations récentes — voir par exemple la fuite Autosur du 16 juin. Misere est l'acteur revendiquant les fuites côté secteur public depuis le printemps (Tchap, JeVeuxAider, RATP, FSPN). ChimeraZ est associé à la série de fuites visant l'immobilier français (Capifrance, Homepad, Propriétés Privées). Aucune affiliation à un groupe ransomware identifié n'est revendiquée.

L'authenticité globale du lot n'est pas indépendamment confirmée. Aucune communication d'Akaolife, aucune notification publique CNIL ou ANSSI ne valide à ce stade le périmètre exact.

Périmètre du risque

Si la revendication se confirme, la donnée la plus sensible n'est pas le volume — c'est la nature :

  • 38 138 dossiers de médecine du travail : examens d'aptitude, restrictions, antécédents, contre-indications. Donnée santé au sens RGPD, sanction CNIL renforcée en cas de manquement.
  • 3 747 dossiers handicap : RQTH, aménagements de poste, suivi médico-social. Même catégorie sensible.
  • 966 816 fiches RH et 1 003 047 demandes de mobilité : identités, coordonnées, état civil, parcours professionnel, manager direct. Vecteur d'hameçonnage RH ciblé sur agents de France Travail Île-de-France et sur les entreprises clientes d'Akaolife.
  • 26 684 mots de passe en clair : si réutilisés ailleurs (messageries pro, espaces RH connectés, fournisseurs SaaS), la surface latérale est immédiate.

Que faire

  1. Agents France Travail Île-de-France et utilisateurs d'applications Akaolife : considérer comme suspect tout courriel ou appel évoquant une mise à jour de dossier RH, une visite médicale, une régularisation de mobilité, reçu sans déclenchement de leur part. Vérification systématique via l'intranet authentifié et jamais via un lien reçu.
  2. DSI Akaolife / Sage : si la liste des défauts revendiqués est avérée, c'est une reprise complète d'architecture qui s'impose — séparation des applications, rotation des secrets MySQL, sortie des mots de passe en clair des configurations, retrait des clés SSL des arborescences Web, révocation des certificats exposés, désactivation des Indexes Apache, mise à jour ou retrait de phpMyAdmin.
  3. DSI France Travail : recensement des accès Akaolife depuis le SI agent, rotation des identifiants techniques partagés, audit des SSO et fédérations sortantes.
  4. Notification CNIL : Akaolife, comme responsable de traitement (ou sous-traitant à signaler à ses responsables de traitement), est soumis au délai de 72 h après prise de connaissance. La présence de données santé impose une information directe des personnes concernées en cas de risque élevé.
  5. Notification ANSSI / CERT-FR : prestataire d'un opérateur de service public ; cadre OIV/OSE applicable selon le périmètre contractuel.
  6. Toute personne dont le mot de passe pro figurerait dans le lot doit considérer ce mot de passe comme compromis sur tous les services où il aurait été réutilisé.

Contexte

Akaolife est le troisième prestataire RH ou SaaS public revendiqué par le duo Misere/ChimeraZ depuis fin mai. Le couple opère un mode opératoire stable : revendication sur forum, échantillon de validation, rançon faible en Monero, menace de publication à sept jours. La fuite Tchap (73 000 agents de l'État, juin 2026) et la FSPN (224 000 policiers, juin 2026) s'inscrivent dans la même séquence côté Misere ; les fuites immobilières en cascade côté ChimeraZ (Capifrance, Homepad, Krys, Propriétés Privées, Leboncoin Immobilier) en sont l'autre face.

Le dénominateur commun à ces dossiers — prestataires SaaS qui mutualisent secrets, base et clés sur une seule machine — n'est pas un accident de configuration isolé. C'est le profil d'une génération entière de fournisseurs métier français dont les hyperscalers et les acteurs de la facturation électronique vont continuer de racheter le portefeuille. Le rachat d'Akaolife par Sage place mécaniquement la responsabilité de la remédiation dans le périmètre d'un acteur de taille suffisante pour l'assumer — encore faudra-t-il que France Travail, comme client, exige la transparence sur le résultat.

Articles liés