Bug CAF : des informations confidentielles dévoilées
BUG CAF. Du dimanche 10 octobre au lundi 11 octobre, les informations de plusieurs milliers de comptes d'allocataires de la Caisse d'allocations familiales pouvaient être consultées et modifiées par des tiers, jusque dans les moindres détails.
C'est l'histoire d'une amélioration de service qui vire au fiasco informatique, entrainant de facto, une "violation de l'intégrité des données" personnelles de plusieurs milliers d'allocataires de la CAF (Caisse d'allocations familiales), comme l'a expliqué à l'AFP, Vincent Mazauric, le directeur général de la CNAF. Que s'est-il passé au juste entre le dimanche 10 octobre 2021 à 21 h et le lundi 11 octobre à 9 h ? Il y a quelques jours, la CAF avait annoncé à ses utilisateurs qu'elle allait procéder dans le courant du mois d'octobre à la mise en place d'un tout nouveau système d'authentification. "Courant octobre, vous utiliserez votre numéro de sécurité sociale pour vous connecter aux différents services de votre CAF. À cette occasion, vous devrez créer un nouveau mot de passe composé de chiffres et de lettres. Pour plus de sécurité, vous devrez valider vos coordonnées de contact par mail ou par SMS. Si vous n'avez pas de numéro de sécurité sociale, un identifiant provisoire vous sera attribué", précisait l'institution. Mais rien ne s'est passé comme prévu.
En changeant leurs mots de passe, certains allocataires ont pu accéder, l'espace de quelques heures (une éternité en temps informatique) non pas à leur compte… mais à des comptes qui ne leur appartenaient pas, avec à chaque fois la possibilité, non seulement de consulter, mais aussi de modifier les données personnelles des comptes concernés. "Afin de prévenir tout acte éventuel de malveillance, toutes les démarches effectuées pendant ces quelques heures sur ces comptes ont été annulées", affirme la CAF dans un communiqué publié lundi 11 octobre. Au total, ce dysfonctionnement aurait affecté quelque 7 000 dossiers. Ce bug informatique permettait de rentrer dans l'intimité des personnes, car au-delà des noms et numéros de téléphone, il était possible d'accéder, selon plusieurs témoignages mis en ligne par des internautes (notamment sur les sites TotalBug.com, 552 signalements, et DownDetector) à des informations aussi sensibles que les aides reçues, et aux RIB des allocataires.
Dans un premier temps, la CAF a assuré que cette "erreur informatique" – car contrairement au récent piratage d'un service de partage de fichiers à l'AP-HP, il ne s'agirait pas d'une attaque informatique – que seules les données de contact étaient exposées à des tiers. Une version massivement démentie par les internautes. "À chaque connexion, ça me connectait à un compte différent, au début je suis tombé sur le compte d'un certain Mohammed, ensuite d'une Véronique, d'une Audrey… J'ai tenté de me connecter 19 fois en vain", confie un internaute. Sur la page d'accueil de son site, la CAF explique que "des anomalies de connexion à l'Espace Mon Compte ont été constatées" (...) et qu'afin de "sécuriser complètement la situation, l'Espace Mon Compte et l'application mobile sont actuellement fermés." Avant de conclure: "La CAF présente ses plus vives excuses et reviendra vers les allocataires concernés par cet incident. Vous n'avez pas besoin de contacter votre CAF."
L'affaire ne devrait pas en rester là puisque l'ANSSI (Agence nationale de la sécurité des systèmes d'information) a été saisie pour faire la lumière sur cet incident. La CNIL (Commission nationale de l'informatique et des libertés) a également été notifiée, conformément à la loi. Pour éviter que cet incident technique, déjà critique pour certains allocataires, ne dégénère encore plus, la CNIL "invite les personnes à prêter une attention particulière aux changements de données sur leur compte" et souligne "qu'il est important que les personnes qui rencontrent ce problème remontent les informations au responsable de traitement, en l'espèce la CAF, et n'en prennent pas copie et encore moins les publient sur les réseaux sociaux ou ailleurs".