L'URSSAF a elle-même annoncé, lundi en fin de journée, avoir été victime d'une énorme fuite de données, touchant jusqu'à 12 millions de salariés. Des pirates ont exploité un compte partenaire compromis pour accéder aux informations d'embauche.

Coup dur pour l'URSSAF, victime d'une fuite de données très importante, une de plus en France. © Alexandre Boero / Clubic
Coup dur pour l'URSSAF, victime d'une fuite de données très importante, une de plus en France. © Alexandre Boero / Clubic

C'est un nouveau coup dur pour la cybersécurité française, et il frappe cette fois l'URSSAF. L'organisation qui collecte les cotisations sociales des salariés a révélé ce lundi qu'un accès frauduleux a permis de consulter des données d'embauche sur trois ans. Pas de coordonnées bancaires ou de numéros de sécu dans le lot, mais l'organisme craint désormais une vague de tentatives d'arnaques ciblées. Explications sur les faits, les risques et les conseils à suivre.

Des identifiants compromis ouvrent la porte de l'URSSAF aux pirates

Des pirates ont d'abord volé les identifiants d'un partenaire officiel de l'URSSAF. Munis de ces codes d'accès, ils se sont connectés à l'API DPAE, qui n'est autre que l'interface qui donne accès aux déclarations d'embauche. Le piège est parfait, car en utilisant un compte légitime, ils passent pour un utilisateur normal et ne déclenchent aucune alarme. Résultat, ils consultent librement des millions de dossiers.

Au menu du butin, on retrouve des noms, prénoms, dates de naissance, numéros SIRET de l'employeur et dates d'embauche. Les victimes potentielles pourraient atteindre les 12 millions, d'ailleurs toutes embauchées depuis début 2023. Peu importe que vous ayez signé un CDI, enchaîné plusieurs CDD ou tout juste décroché votre premier job, si vous avez été embauché récemment, vous êtes potentiellement exposé.

Le bon côté de cette mésaventure, car il y en a, c'est que les serveurs de l'URSSAF eux-mêmes n'ont pas été piratés. C'est une nuance importante, il ne s'agit pas d'une intrusion massive dans leurs systèmes, mais plutôt d'une utilisation détournée d'un accès autorisé. Dès l'alerte donnée, l'organisme a d'ailleurs coupé les ponts en suspendant le compte et en bloquant l'adresse IP suspecte. Trop tard toutefois pour empêcher la consultation.

Des données limitées mais largement exploitables

On pourrait se dire que ces informations ne sont pas si sensibles. Après tout, il n'y a pas de numéros de sécurité sociale, ni d'adresses e-mail, de téléphones portables ou de RIB dans la nature. L'API DPAE ne donne tout simplement accès qu'à un périmètre restreint d'informations, listées un peu plus haut.

Le problème, c'est que ces informations deviennent redoutables une fois croisées avec d'autres données. Les escrocs peuvent les combiner avec des bases volées ailleurs pour fabriquer des arnaques sur mesure. Imaginez recevoir un mail qui mentionne votre nom exact, votre entreprise actuelle et votre date d'arrivée. Cela peut être beaucoup plus dangereux qu'un message générique envoyé à des milliers de personnes.

L'URSSAF ne peut pas identifier précisément quels dossiers individuels ont été consultés. Il est impossible de savoir si c'est Jean Dupont de Toulouse ou Marie Martin de Lyon qui figure dans le butin. Par précaution, l'organisme considère donc que l'ensemble des 12 millions de personnes embauchées depuis janvier 2023 sont potentiellement exposées.

Gare aux arnaques ultra-ciblées dans les semaines qui viennent

Dans les prochaines semaines, attendez-vous à une possible recrudescence de tentatives de phishing, ces faux messages qui imitent des organismes officiels pour vous soutirer des infos. Avec les données volées, un arnaqueur peut vous envoyer un courrier électronique parfaitement crédible vous parlant de votre embauche chez votre vrai employeur, avec les bonnes dates.

Il faudra alors se rappeler que ni l'URSSAF, ni aucune administration française ne vous demandera jamais vos mots de passe, codes bancaires ou coordonnées sensibles par e-mail ou téléphone. Jamais. Si quelqu'un vous contacte en prétendant représenter un organisme officiel et réclame ce type d'infos, raccrochez ou supprimez le message. En cas de doute, rappelez vous-même l'organisme via le numéro officiel (0 809 541 962 pour l'Urssaf).

Notons que les services de l'URSSAF fonctionnent normalement. Les employeurs peuvent continuer à déclarer leurs nouvelles embauches sans problème, une démarche obligatoire qui active les droits sociaux des salariés. L'organisme réagit en renforçant sa sécurité et dit déployer la double authentification pour se connecter. Encore une fois, il est assez surréaliste qu'une telle institution, comme cela fut le cas au ministère de l'Intérieur ou sur la plateforme d'échange de l'État, HubEE, n'ait pas encore imposé le renforcement de l'authentification. Il est temps de s'y mettre, pour tout le monde !