Un braquage numérique par la porte de service
Si vous avez signé un contrat de travail au cours des trois dernières années, cette affaire vous concerne probablement. L’Union de recouvrement des cotisations de sécurité sociale et d’allocations familiales (Urssaf) a confirmé ce lundi avoir été victime d’un accès frauduleux d’une ampleur inédite.
Mais attention, il ne s’agit pas d’un piratage classique où des hackers encagoulés auraient forcé la porte blindée des serveurs de l’État. Selon les premières investigations, les pirates sont passés par la fenêtre. Ils ont utilisé les identifiants volés d’un « partenaire institutionnel » qui avait un accès légitime aux bases de données.
C’est ce qu’on appelle une attaque par rebond. En compromettant un tiers de confiance, les attaquants ont pu se connecter à l’API (l’interface de programmation) qui gère les Déclarations Préalables à l’Embauche (DPAE). Résultat : une autoroute ouverte vers les fiches de 12 millions de personnes.
Noms, dates, jobs : ce que les pirates savent de vous
C’est la première question que l’on se pose : qu’ont-ils pris ? Contrairement à d’autres fuites récentes, celle-ci est chirurgicale. Elle ne vide pas vos comptes en banque directement, mais elle donne aux escrocs les munitions pour vous manipuler.
Voici les données confirmées comme « consultées et potentiellement extraites » :
- Votre nom et votre prénom ;
- Votre date de naissance ;
- La date exacte de votre embauche ;
- Le numéro SIRET de votre employeur.
C’est un profilage parfait. Imaginez un instant : quelqu’un connaît votre identité, votre âge, et sait exactement où vous travaillez et depuis quand. C’est suffisant pour construire des scénarios d’arnaque ultra-crédibles.
Shutterstock
La bonne nouvelle (malgré tout)
Il faut tout de même relativiser pour ne pas céder à la panique. L’Urssaf a été très claire sur ce point : le cœur du réacteur n’a pas été touché. Les pirates n’ont pas mis la main sur les informations les plus critiques.
En revanche, aucun numéro de Sécurité sociale, adresse e-mail ou postale, numéro de téléphone ou coordonnée bancaire ne sont concernés.
Vos coordonnées bancaires (IBAN) et votre numéro de sécu restent, pour l’instant, à l’abri. Vous n’avez donc pas besoin de faire opposition sur votre carte bleue dans la minute. Mais le danger est ailleurs, et il est plus sournois.
Pourquoi le phishing ciblé va exploser
Avec les données volées, les cybercriminels peuvent lancer des campagnes de « spear phishing » (hameçonnage ciblé). Oubliez les mails bourrés de fautes d’orthographe vous annonçant que vous avez hérité d’un prince lointain. Ici, on parle d’ingénierie sociale de haut vol.
Vous pourriez recevoir demain un mail ou un SMS qui semble provenir des RH de votre entreprise ou de l’Urssaf, mentionnant votre date d’embauche réelle et le nom de votre société. Le message pourrait vous demander de « régulariser une cotisation » ou de « mettre à jour votre RIB pour un remboursement ».
C’est là que réside le piège : la véracité des informations contextuelles (votre employeur, votre date d’arrivée) va baisser votre garde. Si le message cite votre patron ou votre boîte avec exactitude, vous aurez tendance à cliquer.
La check-list de survie numérique
Face à cette fuite, l’Urssaf a immédiatement coupé les accès compromis, notifié la CNIL et l’ANSSI, et porté plainte. De votre côté, vous ne pouvez pas effacer les données déjà volées, mais vous pouvez blinder vos défenses.
Voici les réflexes à adopter dès maintenant :
- Méfiance absolue sur les demandes d’argent : L’Urssaf ne vous demandera jamais vos coordonnées bancaires ou vos mots de passe par téléphone ou par mail simple.
- Vérifiez l’URL : Ne cliquez jamais sur un lien dans un mail douteux. Tapez manuellement « urssaf.fr » dans votre navigateur pour vous connecter à votre espace.
- Le logo ne fait pas le moine : Les pirates savent copier-coller les logos officiels. Regardez l’adresse de l’expéditeur, même si elle peut aussi être masquée.
- Surveillez vos comptes : Restez vigilant sur les mouvements de vos comptes bancaires et signalez toute anomalie.
Cette attaque s’inscrit dans une série noire pour les services publics français, quelques mois seulement après le piratage de Pajemploi et des incidents au ministère de l’Intérieur. Dans ce monde hyper-connecté, vos données personnelles sont devenues de l’or. À vous d’être le meilleur gardien de votre coffre-fort numérique.
