Pajemploi, un service géré par l'Urssaf, a été victime d'une cyberattaque. Les données personnelles de plus d'1,2 million de salariés d'employeurs particuliers ont été compromises, dont les numéros de sécurité sociale.

Ces derniers temps, les cyberattaques contre les grandes entreprises, les opérateurs téléphoniques et les institutions se multiplient, avec toujours plus de données personnelles qui fuitent sur le Dark Web. Cette fois, c'est au tour de Pajemploi, le service administratif de l'Urssaf qui sert à déclarer et à rémunérer les assistants maternels et gardes d'enfants à domicile, d'être victime d'un vol de données, qui a eu lieu le 14 novembre et "a pu concerner jusqu'à 1,2 million de salariés de particuliers employeurs", selon le communiqué de l'organisme.

Piratage URSSAF : quelles sont les données concernées ?

Parmi les données dérobées, on trouve les noms, les prénoms, les dates et lieux de naissance, adresses postales, des numéros de Sécurité sociale, le nom de l'établissement bancaire, le numéro Pajemploi et le numéro d'agrément. En revanche, l'Urssaf assure que les numéros IBAN de compte bancaire, adresses mail, numéros de téléphone et mots de passe n'ont pas été compromis. L'organisme se veut rassurant en ajoutant que cette intrusion, circonscrit au service Pajemploi et ne touchant aucun autre service de l'Urssaf, n'a "aucune incidence" sur le fonctionnement du service et "ne remet pas en cause le traitement des déclarations et le paiement des salaires". Il n'empêche que les informations dérobées sont largement suffisantes pour mettre au point des campagnes de phishing personnalisées et redoutables, voire pour tenter de pirater certains services clés, comme Améli, grâce aux numéros de sécurité sociale...

L'Urssaf va contacter toutes les personnes concernées par cette violation de données dans les prochains jours. Un signalement à la CNIL et à l'Agence de la sécurité des systèmes d'information (ANSSI) ont été effectués, comme il est de coutume. Une plainte pénale doit également être déposée auprès du procureur de la République.

L'organisme "présente toutes ses excuses pour cette atteinte à la confidentialité des données" et assure tout mettre en œuvre "pour renforcer ses dispositifs et garantir, de manière permanente, la sécurité des données qui lui sont confiées". Il recommande également aux personnes affectées par l'incident de redoubler de vigilance dans les prochaines semaines et de ne pas répondre précipitamment aux e-mails, SMS, appels, et même courriers recommandés dont elles ne connaissent pas l'expéditeur ou qui leur paraissent suspects. Au moindre doute, mieux vaut contacter directement l'organisme en question.