Des cybercriminels revendiquent le vol des données de 600 000 allocataires de la CAF

Le groupe cybercriminel LulzSec a revendiqué, le 13 février 2024, le vol des données de 600 000 comptes d’allocataires de la Caisse d’allocations familiales (CAF) française. Les pirates informatiques ont publié des captures d’écran concernant quatre comptes, ainsi qu’une liste floutée des autres victimes. Selon LulzSec, les données compromises comprennent le nom des assurés, leurs informations familiales, le montant et la date des versements d’allocations.

La CAF a confirmé avoir « identifié les quatre comptes présents sur les captures d’écran » et les avoir prévenus. Ces allocataires ont donc bien subi un vol de données. Mais, rassure la CAF, « aucun accès aux coordonnées bancaires n’est possible ».

Le piratage de ces quatre comptes « s’est fait sans forcer le système du site, par renseignement de mots de passe probablement obtenus par ailleurs par les auteurs. Cela confirme que le site Caf.fr n’a pas connu de faille de sécurité », précise l’organisme. Par mesure de sécurité, le site avait d’ailleurs été fermé quelques heures, dans la nuit du 12 au 13 février. N’ayant constaté aucune intrusion, les équipes de la CAF l’ont rouvert.

Le 13 février en fin de journée, la CAF a indiqué qu’elle pouvait certifier, après investigations, que « les violations de données concernant 600 000 comptes allocataires ne sont pas attestées ». L’organisme a déposé une plainte et effectué un signalement à la Cnil.