Urssaf révélé qu'un accès frauduleux à son système informatique a permis la consultation et l'extraction des données personnelles de 12 millions de salariés français. Le hack cible spécifiquement les personnes ayant fait l’objet d’une déclaration préalable à l’emploi (DPAE) au cours des trois dernières années. Les informations compromises comprennent les noms et prénoms, les dates de naissance, les dates d'emploi ainsi que le numéro Siret de l'employeur.
Une cyberattaque visant l'API de l'Urssaf
L'organisation tente de rassurer en affirmant que les données les plus sensibles sont restées sécurisées : aucun numéro de sécurité sociale, coordonnées bancaires, adresse postale, email ou numéro de téléphone n'ont été dévoilés. L'intrusion n'a pas visé directement les serveurs de l'Urssaf mais est passée par l'API DPAE, canal d'échange réservé aux établissements, en utilisant les identifiants volés d'un compte partenaire habilité qui avait été victime d'une précédente cyberattaque.
Dès la détection de l'accès illégitime, l'Urssaf a suspendu le compte incriminé et renforcé ses protocoles de sécurité des autorisations externes. Une plainte pénale a été déposée auprès du procureur de la République et le fait a été notifié à la CNIL, comme l'explique la loi, ainsi qu'à l'Anssi. Dans ce contexte de cybermenace accrue contre les acteurs publics, l'Urssaf appelle les salariés concernés à la plus grande prudence face aux tentatives de phishing, en leur rappelant de ne jamais divulguer de mots de passe ou d'informations bancaires par téléphone ou par email.
« Les employeurs peuvent donc continuer à utiliser le service de déclaration préalable à l'emploi comme d'habitude »affirme l'Urssaf.
Ce nouvel incident de sécurité intervient quelques mois seulement après une précédente alerte en novembre, où le service Pajemploi de l'Urssaf avait déjà subi un vol de données touchant 1,2 million de salariés d'employeurs privés. Cette récurrence met en évidence la vulnérabilité des interconnexions entre les agences étatiques et leurs partenaires tiers.
