Selon la Caisse d’allocations familiales (caf), des milliers de comptes d’allocataires ont été visités de manière illégitime. Tous doivent changer de mot de passe depuis le 8 mars.
La Caisse nationale d’allocations familiales (CAF) incite ses allocataires à mettre jour leur mot de passe après avoir détecté que « plusieurs milliers de comptes ont été visités de manière illégitime ». Une dizaine de jours plus tôt, un groupe de pirates revendiquait plus de 600 000 comptes. Face à cette compromission, la CAF annonce renforcer ses mesures de sécurité.
« Une violation de données est avérée », annonce la CAF.
Ma tatie te raconte ce qui s’est passé. Le 12 février, quelques jours après des piratages chez des prestataires de tiers payant, un groupe affirmait avoir piraté quelque 600 000 comptes d’allocataires de la CAF, publiant pour preuves, sur Telegram et X, des captures d’écran. Celle-ci, de son côté, affirmait dans un communiqué (qui a disparu de son site web) « qu’aucune faille de sécurité [n’avait] été détectée sur le site caf.fr » et que « les quatre comptes allocataires publiés par les pirates ont manifestement été consultés suite à un piratage du mot de passe ». Deux semaines plus tard, le constat a changé.
Plusieurs milliers de comptes allocataires ont été visités de manière illégitime. Des personnes malveillantes se sont connectées à des comptes allocataires avec leurs mots de passe réels, volés et « mis à disposition » sur le « dark web », explique la CAF.
Après « investigations », la CAF constate donc qu’une « violation de données » est avérée et affecte « des milliers de comptes » sans en préciser le nombre exact. Mais elle reste sur sa première version : « Il n’y a eu aucune faille de sécurité sur le site caf.fr, qui n’a aucunement été piraté. » Pour les Allocations Familiales, les mots de passe ont été volés, par exemple via une campagne de phishing, et la compromission des comptes ne provient pas d’une intrusion sur sa plateforme.
Tous les allocataires devront changer de mot de passe
La CAF annonce avoir déposé une plainte et un signalement auprès de la CNIL, et affirme que « chaque allocataire dont il est attesté que le compte a été visité est contacté et son mot de passe réinitialisé afin de bloquer tout accès à son compte par une personne non autorisée ». Elle lance aussi une « campagne d’incitation au changement de mot de passe », qui est devenue obligatoire depuis le 8 mars.
Depuis le 8 mars, changer de mot de passe est devenu obligatoire dès qu’on se connecte.
Parallèlement, la CAF dit prendre « des mesures fortes pour renforcer la sécurité des données des allocataires », notamment en introduisant un plus haut degré de sécurité des « mots de passe pour les nouveaux comptes ». Elle affirme enfin, auprès de ses allocataires dont les comptes ont été compromis, que « les personnes malveillantes ne peuvent pas accéder aux coordonnées bancaires, mais pourraient tenter de les modifier (…) En cas de doute, la démarche est validée par un conseiller allocataire avant que le changement ne soit effectif ».
