La Caisse d’allocations familiales confirme finalement une fuite de données personnelles

"Plusieurs milliers de comptes allocataires ont été visités de manière illégitime", a finalement déclaré la Caisse aux allocations familiales (Caf) le 26 février après plusieurs jours de flou. C'est le 12 février que le groupe cybercriminel LulzSec – connu pour s'être attaqué à Sony en 2011 – avait revendiqué via un message sur le réseau social X avoir piraté le service de gestion des allocations familiales et détenir 600 000 comptes de bénéficiaires (sur les 13,5 millions de bénéficiaires de la Caf).

Des milliers de comptes consultés

Cette affirmation avait été démentie le 14 février par l'intéressé qui assurait "qu'aucune faille de sécurité n'a été détectée sur le site caf.fr". IL ajoutait que "les quatre comptes allocataires publiés par les pirates ont manifestement été consultés suite à un piratage du mot de passe". La réalité est finalement beaucoup plus nuancée puisque ce n'est pas seulement "quatre comptes" mais "plusieurs milliers de comptes" qui ont été illégalement consultés par les hackers. Le nombre exact de victimes n'a pas été précisé par la Caf. 

La Caf explique que les hackers – dont l'identité n'est pas encore confirmée – ont trouvé les mots de passe sur le darknet. Elle affirme qu'"aucune faille de sécurité sur le site caf.fr" n'est pas déplorée, lequel "n'a aucunement été piraté". Elle explique par ailleurs que les criminels n'ont pas pu accéder "aux coordonnées bancaires (RIB)" mais "pourraient être tentés de les modifier" tout de même. Se voulant rassurante, elle précise que le changement de coordonnées bancaires en ligne "fait l'objet de contrôles de sécurité" afin de "vérifier que le changement est légitime". Cette démarche est validée par un conseiller. 

Renforcement du niveau de sécurité des mots de passe

Etant donné l'ampleur de la violation, la Caf indique avoir pris "des mesures fortes" pour "renforcer la sécurité des données des allocataires". Elle explique ainsi que depuis la semaine dernière, "le niveau de sécurité des mots de passe" a été renforcé pour les nouveaux comptes. Depuis le 22 février, les différentes caisses aux allocations familiales ont également lancé "une campagne d'incitation" au changement de mot de passe auprès des allocataires et à partir du 8 mars, le changement de mot deviendra obligatoire pour tous ceux qui ne l'ont pas encore fait. 

Comme la législation l'y oblige, la Caf a fait un signalement à la Commission nationale de l'informatique et des libertés (Cnil). Pour rappel, le Règlement général sur la protection des données (RGPD) impose aux responsables de traitement de notifier les violations de données personnelles présentant un risque pour les droits et libertés des personnes à l'autorité de protection des données et, dans certains cas, lorsque le risque est élevé, aux personnes concernées. Une plainte a également été déposée. 

Alerte maximale sur les fuites de données

Le début de l'année 2024 est marqué par des violations de données d'une ampleur assez inédite. Difficile d'être passé à côté de la fuite de données touchant 33 millions d'assurés provoquée par la cyberattaque des entreprises Viamedis et Almerys, gestionnaires du tiers payant pour des complémentaire santé et mutuelles. Touchant près d'un Français sur deux, cet incident a provoqué une prise de position immédiate de la Cnil qui a expliqué vouloir faire toute la lumière sur cette affaire "très rapidement". Elle souhaite notamment déterminer si les mesures de sécurité mises en oeuvre préalablement à l'incident et en réaction à celui-ci étaient appropriées au regard des obligations du RGPD. 

Ce 26 février, ce sont les hôpitaux d'Armentières et du Grand Lille qui ont annoncé que des hackers avaient rendu "accessibles des fichiers" qui pourraient leur appartenir. Leurs services informatiques s'en sont saisis "afin de les qualifier et vérifier qu'ils ont ou non, la propriété du Centre Hospitalier d'Armentières". Si la fuite de données est confirmé, les victimes seront prévenues individuellement, ont indiqué les établissements.