L’Union de recouvrement des cotisations de sécurité sociale et d’allocations familiales (Urssaf) a mis en garde à la suite d’un accès frauduleux ayant potentiellement exposé les données de 12 millions de salariés.
Les cyberattaques massives contre des acteurs publics français se poursuivent. Les données de quelque 12 millions de salariés ont-elles été volées ? L’Union de recouvrement des cotisations de sécurité sociale et d’allocations familiales (Urssaf) a indiqué avoir été victime d’une fuite de données concernant des déclarations préalables à l’embauche (DPAE).
« L’Urssaf a constaté un accès non autorisé à l’API contenant certaines données de la déclaration préalable à l’embauche, réservée à ses partenaires institutionnels, opéré via un compte partenaire habilité dont les identifiants avaient été compromis », a précisé l’organisme.
Les données consultées et potentiellement exfiltrées concernent le nom, le prénom, la date de naissance, le Siret de l’employeur et la date d’embauche de 12 millions de salariés embauchés depuis moins de trois ans. L’Urssaf indique que les numéros de sécurité sociale, les adresses mail ou postales, les numéros de téléphone et les coordonnées bancaires n’ont pas été exposés. Les systèmes d’information n’ont pas été compromis, a précisé l’Urssaf.
La CNIL et l'ANSSI notifiées, une plainte déposée
D’après les premières investigations, l’acteur malveillant aurait accédé à l’API DPAE via un compte partenaire autorisé à accéder à ces informations, dont les identifiants ont été volés à la suite d’un incident précédent. Les accès ont été suspendus immédiatement après la découverte de l’incident. Une notification a été faite à la Commission nationale de l’informatique et des libertés (CNIL) et à l’Agence nationale de la sécurité des systèmes d’information (ANSSI). Une plainte a en outre été déposée auprès du procureur de la République.
Cette attaque intervient dans un contexte marqué par de nombreuses attaques contre des services publics français depuis la fin de l’année 2025. En décembre, un jeune cybercriminel, arrêté depuis, était parvenu à pirater le ministère de l’Intérieur à la suite de la négligence de plusieurs de ses agents, et à consulter plusieurs applications, dont le Traitement d’antécédents judiciaires (TAJ), le Fichier des personnes recherchées (FPR), ainsi que des fiches Interpol. Plus récemment, c’est l’Office français de l’immigration et de l’intégration (Ofii) qui a été la cible d’une cyberattaque ayant conduit au vol de données. L’origine de la fuite pointerait vers un prestataire partenaire de l’établissement public.
