CAF piratée : des millions d’allocataires menacés après le vol massif de données ultra sensibles

Depuis la mi-décembre, une rumeur insistante circule : un fichier géant contenant les renseignements privés de millions d’allocataires de la Caisse d’Allocations Familiales aurait été mis en vente sur un forum fréquenté par des cybercriminels. Identités complètes, coordonnées, dates de naissance… Jamais, depuis la création de la CAF, une fuite de cette taille n’avait été constatée.

Une fuite de données d’une ampleur inédite

Le document volé pèserait environ 15 Go et totaliserait plus de 22 millions de lignes. D’après les premières vérifications, il s’agirait d’un export complet – ou presque – de la base des allocataires. Or, la CAF recensait déjà près de 13,5 millions de foyers bénéficiaires fin 2025 ; la présence de doublons laisse penser qu’environ 8 à 9 millions de personnes distinctes pourraient être réellement touchées.
Le fichier contiendrait par exemple :

• Nom, prénom et sexe ;
• Adresse postale complète ;
• Adresse e-mail et numéros de téléphone ;
• Date et lieu de naissance ;
• Numéro d’allocataire ou numéro INE pour les étudiants ;
• Occasionnellement, des informations familiales (enfants à charge, montant des prestations).

Une telle densité d’informations ouvre la porte à des scénarios d’usurpation d’identité d’une redoutable efficacité : ouverture de crédits, demandes frauduleuses d’aides sociales ou encore souscription de forfaits téléphoniques.

Un contexte de cyberattaques en série

Cette fuite ne survient pas dans un vide numérique. Ces derniers mois, plusieurs institutions publiques ont été ciblées :

• Publication de 16,4 millions de fiches issues d’une base de la police nationale ;
• Intrusions revendiquées dans des services fiscaux et dans le régime général des retraites ;
• Accès non autorisé à des plateformes d’accompagnement des jeunes.

Les enquêteurs évoquent une possible motivation de représailles après des arrestations liées à un réseau de pirates bien connu. Un premier suspect de 22 ans a d’ailleurs été interpellé, mais aucune connexion directe n’a encore été établie entre ce jeune homme et la brèche visant la CAF.

Pourquoi la CAF pourrait avoir été la cible idéale ?

Plusieurs facteurs expliquent l’intérêt des pirates :

• Des bases de données riches en informations civiles, souvent mises à jour ;
• Une interconnexion avec d’autres systèmes (Pass’Sport, MSA, CROUS) multipliant les points d’entrée ;
• Un volume colossal d’allocataires, donc un potentiel financier et opérationnel énorme pour les criminels.

Dans certains cas, un simple compte compromis d’agent suffit : un identifiant trop simple, un mot de passe recyclé, une session ouverte sur un poste mal sécurisé… Autant de portes d’entrée que les attaquants savent exploiter.

Les répercussions pour les allocataires

Les risques ne sont pas théoriques ; ils se matérialisent souvent sous trois formes principales :

• Phishing (hameçonnage) : réception d’e-mails ou de SMS imitant la CAF, l’assurance maladie ou une banque pour soutirer des codes ou modifier un RIB.
• Détournement d’allocations : un pirate modifie les coordonnées bancaires dans l’Espace Mon Compte et redirige les versements mensuels.
• Crédits à la consommation : grâce à l’identité complète, des demandes de prêt en ligne sont montées en quelques minutes auprès d’établissements financiers peu vigilants.

Une étude récente montre qu’un dossier d’identité français complet se revend à près de 30 € sur les places de marché illicites ; s’il est enrichi de scans de pièces d’identité, le tarif peut doubler.

Mesures de sécurité à adopter immédiatement

Les spécialistes en cybersécurité insistent : mieux vaut agir avant de recevoir une notification formelle.

• Changer son mot de passe CAF en privilégiant une phrase complexe (12 caractères minimum) et unique.
• Activer la double authentification grâce au SMS ou, encore mieux, à une application dédiée.
• Vérifier régulièrement le RIB enregistré dans son compte et surveiller la rubrique « historique ».
• Placer des alertes de mouvements inhabituels sur ses comptes bancaires.
• Se méfier des appels ou courriels pressants demandant des documents ou un paiement pour « valider votre dossier ».
• Conserver une copie de ses pièces d’identité chiffrée chez soi et non sur un stockage nuage non sécurisé.

Que font les autorités ?

En vertu du RGPD, toute institution victime d’une fuite de données dispose de 72 heures pour notifier l’autorité de contrôle et informer les personnes concernées. Dans les faits :

• La CNIL peut prononcer des sanctions financières si les mesures de protection étaient jugées insuffisantes.
• Les services de police spécialisés (cybergendarmerie, services de renseignement) tentent d’identifier la brèche et de remonter jusqu’aux auteurs, souvent hébergés à l’étranger.
• Des cellules d’assistance psychologique et juridique sont parfois ouvertes pour guider les victimes d’usurpation d’identité.

Cependant, tant que l’enquête est en cours, de nombreuses zones d’ombre subsistent : point d’entrée exact, complicités internes éventuelles, nombre définitif de personnes concernées.

Vers une prise de conscience collective

L’affaire rappelle à quel point les données sociales constituent une cible stratégique. Un organisme de protection sociale, par la nature même de ses activités, détient des informations à très forte valeur sur des publics souvent vulnérables.
Cette attaque pourrait accélérer la mise en œuvre de chantiers déjà évoqués :

• Renforcement des audits de sécurité externes et internes ;
• Généralisation des accès « zéro confiance » pour les agents ;
• Formation massive des utilisateurs aux risques numériques ;
• Campagnes de sensibilisation du grand public sur l’usage des mots de passe et les dangers du phishing.

Face à une menace devenue systémique, la protection de nos données ne peut plus se limiter à de simples obligations réglementaires : elle relève désormais d’un véritable enjeu de souveraineté numérique.