Piratage CAF : les données de plus de 60 000 allocataires en libre accès sur le Net

Les numéros de Sécurité sociale et les mots de passe de plus de 60 000 comptes de bénéficiaires de la CAF ont fuité sur Internet. Des données particulièrement sensibles qui sont désormais à la merci des cybercriminels…
Nouveau coup dur pour la Caisse d'Allocations Familiales (CAF) ! Après un piratage en février dernier qui a abouti à la divulgation sur la Toile de 600 000 comptes (voir notre article), l'organisme est victime d'une importante fuite de données. En effet, Damien Bancal, chercheur en sécurité informatique du blog Zataz, a découvert une montagne d'informations relatives à des comptes CAF sur le Dark Web. Ce sont les numéros de Sécurité sociale et les mots de passe de plus de 60 000 Français qui ont été dévoilés. Des données particulièrement sensibles, exposant les bénéficiaires à de graves risques…
Fuite de la CAF : des numéros de Sécurité sociale et des mots de passe dérobés
Le vol des numéros de Sécurité sociale est particulièrement inquiétant. En effet, cet identifiant unique composé de 13 caractères permet de se connecter à la CAF, couplé à un mot de passe, mais aussi d'accéder aux services de santé et de réaliser la plupart des démarches administratives en France. En plus, il est impossible à modifier, comme on pourrait le faire pour un mot de passe compromis.
Pire encore, le pirate est également parvenu à subtiliser les mots de passe associés au numéro de Sécurité sociale, ce qui laisse tout le loisir à ceux possédant le couple d'identifiants de se connecter au compte de la CAF d'un Français et d'usurper son identité, d'accéder à des informations sensibles et de modifier des coordonnées bancaires pour détourner le versement des allocations. Par ailleurs, le numéro de Sécurité sociale peut être exploité pour réaliser des campagnes de phishing – y compris par téléphone.
Sans compter que le numéro social peut servir à accéder à différents services publics – Ameli.fr et le site des impôts notamment – et à abuser de certains systèmes comme FranceConnect. Car oui, avec ce dispositif d'identification mutualisé, un identifiant et un mot de passe uniques suffisent pour accéder en toute sécurité à plus de 1 400 sites et services – se connecter à son compte Ameli, demander un passeport sur le site ANTS, accéder à France Identité, l'application contenant un équivalent numérique de la carte d'identité, etc. (voir notre guide pratique).
Reste à savoir comment ces données ont pu être récupérées, la CAF n'ayant pas récemment signalé de piratage. Les équipes de Zataz avancent l'hypothèse qu'elles pourraient avoir été récupérées par des malwares spécialisés dans la collecte d'informations sensibles, que l'on appelle des infostealers. Ce même pirate avait auparavant diffusé des données qu'il avait nommées "La Banque Postale" ainsi que des accès à plusieurs milliers de comptes de contribuables français.