Dans un communiqué, l'organisme de recouvrement des cotisations sociales a indiqué qu'un compte partenaire habilité avait été compromis, permettant un accès illégal à une interface contenant des données issues des déclarations préalables à l'embauche. Cet incident intervient quelques semaines seulement après le vol de données touchant jusqu'à 1,2 million d'utilisateurs du service Pajemploi, soulignant la récurrence des cyberattaques visant l'institution.

Quelles données ont été volées ?

Selon l'Urssaf, les cybercriminels ont pu consulter et potentiellement extraire un ensemble limité mais sensible d'informations personnelles concernant 12 millions de salariés, tous embauchés au cours des trois dernières années. Les données exposées sont :

- Nom et prénom

- Date de naissance

- SIRET de l'employeur

- Date d'embauche

L'organisme se veut rassurant sur d'autres catégories critiques : aucun numéro de Sécurité sociale, adresse (postale ou email), numéro de téléphone ou coordonnée bancaire n'a été affecté par cette fuite.

Un risque majeur : l'usurpation d'identité et le phishing ciblé

Malgré l'absence de données financières directes, cet incident représente une menace sérieuse. Les informations volées, nom, prénom, date de naissance, employeur et date d'embauche, constituent une base solide pour des escroqueries par hameçonnage (phishing) hautement personnalisées. Les fraudeurs pourraient, par exemple, se faire passer pour l'Urssaf, un syndicat, un service RH ou même l'employeur lui-même, en utilisant les données précises de la victime pour donner une apparence de légitimité à leur message. L'objectif serait alors de soutirer, dans un second temps, des informations plus critiques (identifiants, coordonnées bancaires) ou d'installer des logiciels malveillants.

La faille : un compte partenaire préalablement compromis

Les investigations préliminaires de l'Urssaf révèlent que la brèche ne provient pas d'une faille directe dans ses propres systèmes, mais de l'usurpation des identifiants d'un "partenaire institutionnel" habilité à consulter ces données via une interface (API). Ces identifiants auraient été dérobés lors d'une cyberattaque antérieure visant ce partenaire. Face à cette découverte, l'Urssaf a immédiatement suspendu les accès du compte compromis et déposé une plainte auprès du parquet de Paris. Une enquête est en cours pour déterminer l'ampleur exacte de l'extraction et identifier les responsables.

Que doivent faire les salariés concernés ?

Si vous avez été embauché(e) depuis 2023, vous êtes potentiellement concerné(e). L'Urssaf appelle à une vigilance accrue et rappelle les bonnes pratiques essentielles :

- Méfiance face aux messages urgents ou inattendus : Soyez extrêmement prudent avec tout email, SMS ou appel téléphonique évoquant vos données d'embauche, votre contrat ou vos cotisations sociales, même si l'expéditeur semble connaître vos informations personnelles.

- Ne jamais communiquer d'informations sensibles : L'Urssaf, Pôle emploi ou votre employeur ne vous demanderont jamais vos coordonnées bancaires, votre mot de passe ou votre numéro de Sécurité sociale par email ou SMS.

- Vérifier la source : En cas de doute sur un message, contactez directement l'organisme concerné en utilisant les coordonnées officielles trouvées sur son site web (et non celles fournies dans le message suspect).

- Signaler les tentatives de phishing : Toute tentative d'hameçonnage peut être signalée sur la plateforme gouvernementale www.internet-signalement.gouv.fr (Pharos).

Cet incident, le second en quelques mois, met en lumière la vulnérabilité des chaînes de confiance numériques et la valeur marchande des données administratives, même partielles. Il sert de rappel crucial : dans l'ère numérique, la protection des données personnelles est une responsabilité partagée entre les institutions et la vigilance individuelle de chaque citoyen.