La série noire continue, c'est aujourd'hui l'URSSAF qui a confirmé un accès malveillant à un de ses systèmes, en l'occurence celui de déclaration préalable à l'embauche. Du coup, les données personnelles des 12 millions de salariés français qui ont été embauchés ces trois dernières années ont été piratées. Une nouvelle fuite massive pour cette nouvelle année donc, qui s'annonce aussi sécurisée que la précédente
Une attaque par porte dérobée
Les pirates n'ont en fait pas vraiment attaqué directement les serveurs de l'URSSAF. Ils sont passés par l'API du service de déclaration préalable à l'embauche, aussi appelé le DPAE, ce canal plutôt réservé aux partenaires institutionnels. Le mode de fonctionnement des hacheurs est devenu hélas assez classique : ils ont utilisé les identifiants d'un compte partenaire parfaitement habilité, déjà compromis lors d'une cyberattaque plus ancienne. Une fois bien au chaud dans le système, ils ont tout simplement pu consulter et extraire les données de tous les salariés qui ont été déclarés depuis moins de trois ans, et ça en fait un sacré paquet.
Mais qu'est ce qui a fuite en vrai ?
Les données compromises sont nombreuses, on retrouve les noms, prénoms, dates de naissance, les dates d'embauche et numéros SIRET des employeurs. L'URSSAF tente de son côté de rassurer autant que précisant en insistant sur le fait que les informations les plus sensibles n'ont elles pas été touchées : par exemple, pas de numéros de Sécurité sociale, de coordonnées bancaires, d'adresses postales ou d'emails et uméros de téléphone. Alors, c'est déjà pas, mais on sait quand même que ces données suffisent largement à monter des campagnes de phishing ciblées redoutables, surtout là on parle vraiment d'une entité qui gère réellement des sommes et transferts d'argent, donc c'est d'autant plus délicat et risqué.
Clairement, ça n'en finira jamais
Ce nouveau piratage pointe le bout de son nez après une fin d'année 2025 déjà très bien chargée côté cyberattaques contre les services publics en France. Le ministère de l'Intérieur, celui des Sports, et même, déjà, le service Pajemploi de l'URSSAF là aussi, avez 1,2 million de victimes en novembre, ça fait beaucoup. L'organisme a bien sûr suspendu le compte compromis, et a annoncé avoir renforcé ses protocoles de sécurité, en particulier pour les partenaires externes. Une plainte a aussi été déposée, et la CNIL et l'ANSSI ont été notifiées, car c'est la procédure.
On en dit quoi ?
On a au moins un bon signal de la part de l'URSSAF qui a communiqué rapidement sur cette fuite, car ça n'est toujours pas le cas. Mais ça commence vraiment à faire beaucoup. Deux incidents importants en quelques mois, ça pose vraiment la question de la robustesse des connexions entre les organismes publics et leurs partenaires. Ces malheureux identifiants qui ont été volés chez un tiers et qui ouvrent les vannes de 12 millions de dossiers, c'est franchement très balot comme scénario. L'URSSAF de son côté recommande la vigilance face aux futures tentatives de phishing. Traduction : attendez-vous clairement à recevoir de nombreux mails frauduleux vous demandant de régulariser votre situation dans les semaines qui viennent. Comme si on en recevait déjà pas assez…
