La caisse d’allocations familiales (CAF) a confirmé ce lundi avoir été victime d’une cyberattaque de grande ampleur, le 13 février dernier. Les cyberassaillants ont eu accès aux données personnelles des comptes de plusieurs milliers d’allocataires.

Au moins plusieurs milliers de comptes concernés par le vol de données

Il y a deux semaines, le groupe de cybercriminels LulzSec revendiquait sur Telegram et X, anciennement Twitter, le piratage de 600 000 comptes de la CAF. Suite cette annonce, l’organisme de droit privé assurait qu’« aucune faille de sécurité n’a été détectée, » laissant planer le doute sur la véracité de l’information. Pourtant, dans la nuit du 13 eu 14 février, impossible d’accéder au site internet de la CAF pendant plusieurs heures.

Dans un premier temps, la caisse nationale des allocations familiales (CNAF) confirmait la violation des données de quatre comptes. En réalité, il s’avère que l’attaque informatique réalisée par les hackers fut plus massive que cela. Dans un communiqué, la CNAF a bel et bien confirmé avoir été confrontée à une violation de données ayant touché « plusieurs milliers de comptes ».

La liste exacte des données auxquels ont eu accès les cybercriminels n’a pas été divulguée. Toutefois, la CAF indique que « les personnes malveillantes ne peuvent pas accéder aux coordonnées bancaires (RIB), mais pourraient tenter de le modifier ». Il s’agit là d’une des techniques utilisables par les hackers pour détourner les allocations des personnes bénéficiaires. L’organisme invite tous ses allocataires à vérifier l’exactitude de l’ensemble de leurs informations sur leur compte.

Aussi, ils seront obligés d’ici le 8 mars de modifier leur mot de passe en le rendant complexe avec l’ajout de majuscules, de chiffres ou de caractères spéciaux. En se connectant, les allocataires seront redirigés vers une page leur permettant de réaliser cette manipulation. À noter que « chaque allocataire dont il est attesté que le compte a été visité est contacté et son mot de passe réinitialisé afin de bloquer tout accès à son compte par une personne non autorisée ».

La Commission nationale de l’informatique et des libertés (Cnil) a été saisie, et mène désormais l’enquête pour savoir comment LulzSec a eu accès à ces informations.