Urssaf : une faille chez un prestataire expose potentiellement les données de 12 millions de salariés

Une intrusion ciblant un compte partenaire de l’Urssaf a permis à des cybercriminels d’accéder à des informations liées à 12 millions de salariés récemment embauchés. Les systèmes internes n’ont pas été compromis, mais les risques de fraude sont bien réels.

Une intrusion via un accès partenaire

L’Urssaf fait face à un nouvel incident de cybersécurité d’ampleur. L’organisme chargé de collecter les cotisations sociales a confirmé un accès frauduleux à l’une de ses interfaces techniques, utilisée pour les déclarations préalables à l’embauche. Cette API, connue sous le nom de DPAE, n’est pas ouverte au public : elle est exclusivement destinée à des partenaires institutionnels autorisés.

Dans ce cas précis, ce n’est pas une faille technique interne qui est en cause. L’attaque a été rendue possible par la compromission d’un compte appartenant à l’un de ces partenaires. Les cybercriminels ont réussi à exploiter des identifiants valides, obtenus lors d’une précédente attaque visant directement ce prestataire.

Des identifiants déjà compromis

Les premières analyses menées par l’Urssaf montrent que le compte utilisé pour l’intrusion disposait légalement de droits d’accès aux données concernées. Autrement dit, les attaquants n’ont pas eu besoin de forcer les systèmes : ils se sont simplement connectés avec des identifiants déjà existants.

Ce scénario illustre un phénomène bien connu en cybersécurité : une fuite de données peut en entraîner une autre. Lorsqu’un partenaire est piraté, ses accès deviennent une porte d’entrée indirecte vers des systèmes tiers pourtant bien protégés. Dans ce cas, l’Urssaf insiste sur un point clé : ses propres systèmes d’information n’ont pas été compromis.

12 millions de salariés potentiellement concernés

L’ampleur de l’incident reste néanmoins considérable. Les données consultées ou potentiellement exfiltrées concernent environ 12 millions de salariés ayant fait l’objet d’une embauche au cours des trois dernières années.

Les informations exposées sont les suivantes :

  • nom et prénom
  • date de naissance
  • date d’embauche
  • numéro Siret de l’employeur

L’Urssaf précise en revanche que plusieurs données sensibles n’ont pas été touchées. Aucun numéro de Sécurité sociale, aucune adresse postale ou électronique, aucun numéro de téléphone ni aucune donnée bancaire ne figurent parmi les éléments concernés.

À ce stade, rien n’indique que ces informations circulent déjà sur des forums clandestins ou des places de marché du dark web. Toutefois, ce type de données est particulièrement prisé par les cybercriminels, notamment pour préparer des campagnes d’escroquerie ciblées.

Réaction rapide et mesures de sécurité

Dès la détection de l’accès frauduleux, l’Urssaf a coupé les accès du compte compromis. Les équipes ont été mobilisées pour analyser l’origine de l’incident, en limiter les effets et renforcer les dispositifs de protection existants.

L’organisme indique également avoir engagé un travail de sécurisation plus poussé des habilitations accordées à ses partenaires. L’objectif est clair : réduire les risques liés aux accès tiers, souvent moins bien protégés que les systèmes centraux.

Malgré l’incident, les employeurs peuvent continuer à utiliser le service de déclaration préalable à l’embauche sans changement particulier.

Un risque accru de phishing

Même si les données dérobées ne permettent pas un accès direct à des comptes bancaires ou administratifs, elles peuvent servir de base à des attaques plus élaborées. En disposant d’informations crédibles sur l’identité d’un salarié et de son employeur, un attaquant peut construire des messages de phishing particulièrement convaincants.

L’Urssaf appelle donc les salariés à la prudence. Elle rappelle qu’il ne faut jamais communiquer de mots de passe, de coordonnées bancaires ou d’informations sensibles par téléphone ou par courriel, même si le message semble provenir d’un organisme officiel.

Des autorités alertées, une plainte déposée

Conformément aux obligations légales, l’Urssaf a signalé l’incident à la Commission nationale de l’informatique et des libertés (Cnil) ainsi qu’à l’Agence nationale de la sécurité des systèmes d’information (Anssi). Une plainte a également été déposée auprès des autorités compétentes.

Cet épisode n’est pas isolé. Quelques semaines plus tôt, un autre service lié à l’Urssaf, Pajemploi, avait déjà été touché par une fuite de données susceptible d’affecter jusqu’à 1,2 million de salariés employés par des particuliers.

L’absence de double authentification en question

Des experts en cybersécurité soulignent un point particulièrement préoccupant dans cette affaire : le compte du prestataire compromis ne disposait pas d’authentification à deux facteurs. Pourtant, ce mécanisme de sécurité aurait pu bloquer l’accès, même en cas de vol du mot de passe.

L’authentification multifactorielle est aujourd’hui considérée comme une mesure de base pour protéger les comptes sensibles. Son absence a déjà été pointée du doigt dans d’autres incidents récents, y compris lors du piratage du ministère de l’Intérieur.

Cette nouvelle fuite rappelle une réalité persistante : la sécurité d’un écosystème numérique dépend autant de ses propres défenses que de celles de ses partenaires.

Source : https://www.urssaf.fr/accueil/actualites/pajemploi-vol-de-donnees.html