L’Urssaf révèle qu’un accès frauduleux à son système informatique a permis la consultation et l’extraction des données personnelles de 12 millions de salariés français. Le piratage cible spécifiquement les personnes ayant fait l’objet d’une déclaration préalable à l’embauche (DPAE) au cours des trois dernières années. Les informations compromises incluent les noms, prénoms, dates de naissance, dates d’embauche ainsi que le numéro Siret de l’employeur.
Une cyberattaque visant l’API de l’Urssaf
L’organisme tente de rassurer en disant que les données les plus sensibles sont restées sécurisées : aucun numéro de Sécurité sociale, coordonnée bancaire, adresse postale, e-mail ou numéro de téléphone n’a été exposé. L’intrusion n’a pas visé directement les serveurs de l’Urssaf mais est passée par l’API DPAE, un canal d’échange réservé aux institutions, en utilisant les identifiants volés d’un compte partenaire habilité qui avait été victime d’une cyberattaque antérieure.
Dès la détection de l’accès illégitime, l’Urssaf a suspendu le compte incriminé et a renforcé ses protocoles de sécurité pour les habilitations externes. Une plainte pénale a été déposée auprès du procureur de la République et l’incident a été notifié à la CNIL, comme l’explique la loi, ainsi qu’à l’Anssi. Dans ce contexte de cybermenace accrue contre les acteurs publics, l’Urssaf exhorte les salariés concernés à une extrême prudence face aux tentatives d’hameçonnage (phishing), rappelant de ne jamais divulguer mots de passe ou informations bancaires par téléphone ou courriel.
« Les employeurs peuvent donc continuer à utiliser le service de déclaration préalable à l’embauche comme habituellement », affirme l’Urssaf.
Ce nouvel incident de sécurité survient quelques mois seulement après une précédente alerte en novembre, où le service Pajemploi de l’Urssaf avait déjà subi un vol de données affectant 1,2 million de salariés de particuliers employeurs. Cette récurrence souligne la vulnérabilité des interconnexions entre les organismes d’État et leurs partenaires tiers.
4 commentaires pour cet article :