Une intrusion numérique d’ampleur inédite a conduit à l’exposition des données personnelles de millions de salariés récemment embauchés. L’Urssaf assure que ses serveurs n’ont pas été directement compromis, mais reconnaît l’exploitation frauduleuse d’un accès partenaire légitime. L’incident relance les inquiétudes autour de la cybersécurité des institutions publiques françaises.
L’alerte est sérieuse et ses répercussions potentiellement massives. L’Urssaf a confirmé le 19 janvier avoir détecté un accès illégitime à certaines de ses données, susceptible de concerner jusqu’à 12 millions de salariés embauchés au cours des trois dernières années. Contrairement à un piratage frontal de ses infrastructures, l’organisme insiste sur un point clé : ses serveurs n’ont pas été attaqués directement.
La faille provient de l’usurpation d’identifiants appartenant à un partenaire institutionnel habilité. Les attaquants ont ainsi pu se connecter à l’interface dédiée aux déclarations préalables à l’embauche, la DPAE, en utilisant un compte parfaitement valide. Cette méthode, particulièrement discrète, leur a permis de contourner les mécanismes de détection classiques et d’accéder à une API contenant des données sensibles.
Dans un communiqué, l’Urssaf précise que « l’accès non autorisé » concerne des informations telles que les noms, prénoms, dates de naissance des salariés, les dates d’embauche ainsi que les numéros Siret des employeurs. Les coordonnées bancaires, mots de passe et numéros de Sécurité sociale n’auraient en revanche pas été compromis. Une plainte a été déposée auprès du procureur de la République et l’accès du compte concerné a été immédiatement suspendu, tandis que l’adresse IP suspecte était bloquée.
Selon les premiers éléments de l’enquête, les identifiants utilisés auraient été dérobés lors d’un acte de cybermalveillance antérieur visant le partenaire institutionnel lui-même. Une chaîne de vulnérabilités qui illustre la fragilité des écosystèmes numériques interconnectés, où la sécurité globale dépend parfois du maillon le plus faible. En réponse, l’Urssaf annonce le renforcement de ses dispositifs, notamment par la généralisation de l’authentification à double facteur pour ses partenaires.
Si l’organisme se veut rassurant, le risque d’exploitation frauduleuse demeure élevé. Le croisement des données exposées ouvre la voie à des tentatives d’escroquerie ciblées, dites de « spear phishing ». Des courriels ou messages personnalisés, mentionnant l’identité exacte d’un salarié, son employeur et sa date d’embauche, pourraient être utilisés pour soutirer des informations confidentielles ou de l’argent. L’Urssaf rappelle à ce titre qu’elle ne sollicite jamais de coordonnées bancaires ou de mots de passe par courriel.
Cet épisode s’inscrit dans une série noire pour les services publics français. Ces derniers mois, plusieurs organismes ont été visés, à l’image de Pajemploi, touché en novembre par une fuite de données concernant plus d’un million de salariés. Plus récemment, la Direction interministérielle du numérique a reconnu une intrusion ayant entraîné l’exfiltration de milliers de documents administratifs.
Les services du ministère de l’Intérieur n’ont pas été épargnés non plus, comme l’a rappelé Laurent Nuñez, après le piratage des systèmes de la place Beauvau en décembre. Début janvier, c’est enfin l’Office français de l’immigration et de l’intégration qui signalait une fuite de données sensibles. Autant d’incidents qui soulignent l’ampleur des défis auxquels l’État français est désormais confronté en matière de cybersécurité.
Sources :
