Piratage à l'URSSAF : 12 millions de salariés touchés par un vol de données

Piratage à l'URSSAF : 12 millions de salariés touchés par un vol de données
Maurine Briantais

L'URSSAF a encore été victime d'une cyberattaque via l'un de ses partenaires. Identité, date d'embauche, Siret de l'entreprise… Les données personnelles de 12 millions de salariés ont été dérobées pour des actions malveillantes.

Décidément, les organismes publics français sont attaqués de toutes parts en ce moment ! Après le ministère de l'Intérieur et Service-public.fr, c'est au tour de l'Union de recouvrement des cotisations de sécurité sociale et d'allocations familiales (URSSAF) d'être victime d'une cyberattaque en ce début d'année 2026. L'organisation qui collecte les cotisations sociales des salariés a révélé le 19 janvier dans un communiqué avoir été victime d'une intrusion qui s'est soldée par une importante fuite de données. Au total, jusqu'à 12 millions de salariés seraient impactés. Elle appelle donc à la vigilance.

Piratage URSSAF : une fuite causée par des identifiants compromis

"L'Urssaf a constaté un accès non-autorisé à l'API contenant certaines données de la déclaration préalable à l'embauche (DPAE), réservée à ses partenaires institutionnels, opéré via un compte partenaire habilité dont les identifiants avaient été compromis", explique l'institution. Les pirates sont parvenus à mettre la main sur les identifiants de connexion liés à ce compte lors d'une précédente cyberattaque à l'encontre d'un partenaire et s'en sont donc servis pour s'introduire dans la base de données. 

Les informations qui ont été "consultées et potentiellement extraites" sont les noms, prénoms, dates de naissance, Siret de l'employeur et dates d'embauche de 12 millions de salariés embauchés depuis moins de trois ans. Heureusement, les numéros de Sécurité sociale et les coordonnées bancaires, de même que les adresses mail et postale et les numéros de téléphone, ne sont pas concernés. De son côté, l'URSSAF assure que ses systèmes d'information n'ont pas été compromis.

L'organisme a depuis suspendu les accès du compte compromis et pris les mesures nécessaires pour renforcer la sécurité de ses systèmes et des habilitations de ses partenaires. Il a également notifié la Commission nationale de l'informatique et des libertés (CNIL) et l'Agence de la sécurité des systèmes d'information (ANSSI), comme il est de coutume dans cette situation, et a déposé une plainte pénale auprès des autorités. Notons que ses services fonctionnent normalement – les employeurs peuvent continuer à déclarer leurs nouvelles embauches.

Piratage URSSAF : c'est encore la faute d'un partenaire tiers

L'URSSAF recommande aux personnes affectées par l'incident de redoubler de vigilance dans les prochaines semaines et de ne pas répondre précipitamment aux e-mails, SMS, appels, et même courriers recommandés dont elles ne connaissent pas l'expéditeur ou qui leur paraissent suspects, étant donné qu'elles pourraient être victimes d'une campagne de phishing personnalisée. Il faut garder en tête que ni l'organisme ni aucune autre administration française ne demandera jamais des mots de passe, codes bancaires ou coordonnées sensibles par e-mail ou téléphone. La vigilance est de mise !

Ce n'est pas la première fois que l'URSSAF est victime d'une fuite de données. En novembre dernier déjà, les données personnelles de plus d'1,2 million de salariés d'employeurs particuliers avaient été compromises, dont les numéros de sécurité sociale (voir notre article). La faute revenait cette fois à Pajemploi, son service administratif qui sert à déclarer et à rémunérer les assistants maternels et gardes d'enfants à domicile.

Une fois de plus, la faille de sécurité ne vient pas de l'organisme en lui-même, mais d'un de ses partenaires ou sous-traitants. Ici, le prestataire n'avait pas activé la double authentification, ce qui fait que le compte a pu être facilement compromis – l'absence de l'authentification à deux facteurs était déjà à l'origine du piratage du ministère de l'Intérieur.