CAF : des hackers ont-ils vraiment eu accès aux données de 600 000 bénéficiaires ?
Le groupe LulzSec a revendiqué lundi soir le piratage de 600 000 comptes, assurant disposer de nombreuses données personnelles. La CAF affirme de son côté que seuls quatre allocataires sont concernés et qu’« aucune faille de sécurité » n’a été constatée sur son site.
Situation familiale, adresse, e-mail, téléphone, historique des derniers paiements… Le groupe de hackers LulzSec a affirmé sur ses réseaux sociaux avoir mis la main sur les données de 600 000 comptes de la CAF, captures d’écran à l’appui. Un coup de filet d’apparence vertigineux, quelques jours seulement après une cyberattaque d’ampleur contre deux opérateurs de tiers payant, Viamedis et Almerys, touchant 33 millions de personnes selon la Cnil. Mais la CAF ne confirme la « violation des données » que de quatre allocataires seulement.
LulzSec a affirmé lundi soir sur X (ex-Twitter) et Telegram avoir piraté 600 000 comptes de la Caisse d’allocations familiales, suscitant l’inquiétude sur les réseaux sociaux. Sur les quatre captures partagées figure le portail personnel de plusieurs allocataires, dont certaines informations ont été floutées, ainsi qu’une liste de données, qui laisse entendre que des milliers d’autres personnes auraient été touchées. Le groupe de hackers n’a pas précisé à quelle fin il pourrait avoir mis la main sur ces informations.
Sur le réseau X, Clément Domingo, ingénieur en cybersécurité, a relevé sur son compte SaxX que le site de la CAF s’est affiché « En maintenance » au cours de la nuit, « certainement une mesure préventive prise par les équipes techniques et cyber ». « Par précaution, le site caf.fr a été fermé plusieurs heures cette nuit », confirme l’organisme, contacté par Le Parisien. Il assure toutefois qu’« aucune faille de sécurité n’a été détectée sur le site » et qu’« aucune intrusion n’est intervenue dans le système », permettant à la plate-forme de rouvrir normalement ce mardi.
« Violation des données » de quatre comptes seulement
Selon la CAF, seuls quatre comptes d’allocataires, ceux identifiés sur les captures d’écran, ont été touchés. Pour eux, « la violation des données est avérée ». Les quatre personnes ont été « identifiées », contactées, et « leurs comptes complètement sécurisés ».
Elle assure à nouveau que les pirates ne sont pas parvenus à entrer sur le site : « L’accès à ces quatre comptes s’est fait sans forcer le système du site, par renseignement de mots de passe probablement obtenus par ailleurs par les auteurs ». Comme le laissent voir les captures, les hackers ont eu accès aux coordonnées des allocataires et au dernier montant d’allocations versés, mais pas à leurs coordonnées bancaires. Quant aux 600 000 comptes qui auraient été touchés, « les investigations sont en cours », mais à ce stade, ces violations « ne sont pas attestées », appuie la CAF.
Au regard de l’historique du groupe de hackers, il est bien probable en effet que les cyberpirates aient tenté un coup d’éclat sans réelle attaque d’ampleur derrière, abonde Gérôme Billois, expert en cybersécurité au sein du cabinet Wavestone. LulzSec doit son nom à un groupe éponyme qui avait fait les gros titres il y a une dizaine d’années, après avoir revendiqué des opérations contre le FBI ou encore le site de Sony. « C’est un ancien groupe de cybercriminels plutôt activistes, qui date de la grande période d’Anonymous. Il était connu pour avoir orchestré quelques attaques, d’ailleurs pas démentielles d’un point de vue technique, mais surtout pour avoir fait de l’esbroufe et diffusé des annonces un peu amplifiées », relève le spécialiste. À tel point que les autorités avaient fini par arrêter le fondateur du groupe.
« Rester attentif sans basculer dans la psychose »
Cette nouvelle prétendue vague de piratages entrerait donc dans la même lignée. « Le but est d’attirer l’attention et de se faire connaître, en faisant un maximum de bruit, comme cela est souvent le cas dans des groupes d’activistes », poursuit l’auteur du livre Cyberattaques : Les dessous d’une menace mondiale (éditions Hachette). Quant à la capture affichant des dizaines de données, « il est très facile de recréer des listes pour donner encore de l’amplification », insiste l’expert.
La prudence reste toutefois de mise, puisque quelques jours sont toujours nécessaires pour faire la lumière complète sur une potentielle cyberattaque. La CAF assure de son côté que « les équipes sont mobilisées à la fois sur les investigations et sur la surveillance des espaces de connexion ». Une plainte a été déposée, et un signalement réalisé auprès de la Cnil. Contactée, cette dernière précise avoir « reçu une notification de violation qui est en cours d’instruction », mais ne communique pas plus à ce stade. « Il faut rester attentifs sans pour autant basculer dans la psychose, et se tenir prêt à réagir en cas d’annonce négative », résume Gérôme Billois.
La CAF recommande ainsi de modifier son mot de passe en cas de doute. Le mieux est bien sûr de changer de mot de passe pour chaque site, quitte à utiliser un coffre-fort sécurisé pour les conserver. Les allocataires sont aussi appelés à rester très vigilants face à un courriel qui se présenterait comme émanant de l’organisme. Vérifiez bien l’adresse e-mail d’envoi, n’ouvrez pas les pièces jointes et ne cliquez pas sur les liens proposés, des règles de prudence que rappelle le site gouvernemental Cybermalveillance. Il est aussi important de garder un œil sur la date et l’heure de la dernière connexion à son compte personnel, pour s’assurer que personne n’y a accédé entre-temps, et de bien se déconnecter après utilisation.
