L’Urssaf vient de reconnaître une nouvelle brèche dans son dispositif de sécurité informatique, révélant qu’un accès frauduleux a permis de consulter – et potentiellement d’extraire – les données personnelles de près de douze millions de salariés. L’incident ne porte pas sur des données bancaires ou des identifiants sociaux sensibles, mais il expose tout de même un volume colossal d’informations exploitables pour des campagnes d’hameçonnage ciblées. L’affaire met une fois de plus en lumière la fragilité des interfaces institutionnelles et la dépendance des entreprises à des acteurs publics dont la cybersécurité apparaît souvent en décalage avec les enjeux actuels.
Un accès frauduleux via une interface partenaire de la déclaration préalable à l’embauche
L’alerte a été déclenchée après la découverte d’une connexion non autorisée à l’API dédiée aux déclarations préalables à l’embauche, un service normalement réservé aux partenaires institutionnels. Selon les éléments communiqués, l’intrusion s’est appuyée sur les identifiants d’un partenaire dont les accès avaient été volés lors d’un précédent acte de cyber-malveillance. L’Urssaf précise que ce compte disposait des habilitations nécessaires pour consulter les données, ce qui a permis au pirate de contourner une grande partie des contrôles habituels.
Cette méthode est classique en matière de piratage institutionnel : au lieu de casser les protections principales, les cybercriminels exploitent les points d’entrée périphériques, souvent moins surveillés. Ici, le vol d’identifiants dans le cadre d’une attaque antérieure a servi de levier pour contourner les protections et interroger l’API comme si de rien n’était. L’Urssaf a expliqué avoir immédiatement suspendu le compte compromis et transmis une plainte au procureur de la République.
Des données sensibles extraites sur 12 millions de salariés récents
L’institution détaille que les informations consultées ou extraites concernent les salariés embauchés depuis moins de trois ans. Les éléments exposés incluent les noms, prénoms, dates de naissance, dates d’embauche ainsi que le numéro Siret de l’entreprise employeur. Ce sont précisément les données les plus utiles pour monter des campagnes d’hameçonnage crédibles : un attaquant peut facilement construire un message personnalisé, évoquant par exemple une régularisation d’affiliation, un rappel de cotisation ou une mise à jour administrative.
L’Urssaf insiste toutefois sur le fait qu’aucun numéro de sécurité sociale, aucune adresse postale ou électronique, aucun numéro de téléphone et aucune information bancaire n’ont été exposés. L’institution cherche à réduire l’ampleur perçue de l’incident, mais cela ne diminue pas pour autant le risque opérationnel pour les entreprises et les employés : des données administratives exactes, récentes et contextualisées sont souvent plus efficaces pour tromper une victime que des informations financières partielles.
Un risque élevé de phishing pour les salariés et les entreprises
La Cnil rappelle que le phishing repose justement sur la capacité d’un fraudeur à imiter un organisme connu et digne de confiance. Avec des données nominatives, la date d’embauche et le Siret de l’entreprise, un escroc peut concevoir des courriels qui paraissent parfaitement légitimes : demande de justificatif, mise à jour de dossier Urssaf, vérification d’un changement de situation professionnelle, ou encore rappel de cotisation. Le risque est d’autant plus marqué que les salariés, comme les services RH, reçoivent déjà une quantité importante de courriers administratifs.
Cet incident, touchant une population immense et récente, ouvre donc un boulevard aux tentatives d’hameçonnage ciblées dans les semaines à venir. Les entreprises disposent d’un levier essentiel : prévenir activement leurs collaborateurs, signaler l’incident et rappeler les règles élémentaires d’identification des messages frauduleux. L’Urssaf, de son côté, se contente d’un appel à la vigilance, posture habituelle après une faille sans pour autant apporter de mesures de remédiation concrètes.
Un nouvel épisode après la fuite du service Pajemploi en novembre
Ce n’est malheureusement pas un cas isolé. À la mi-novembre, l’Urssaf avait admis que le service Pajemploi, utilisé pour la déclaration et la rémunération des assistants maternels et gardes d’enfants à domicile, avait lui aussi fait l’objet d’un vol massif de données. À l’époque, jusqu’à 1,2 million de salariés de particuliers employeurs auraient pu être exposés. La répétition de ces incidents interroge sur la capacité de l’institution à renforcer durablement ses interfaces et à sécuriser les accès de ses partenaires externes.
Dans les faits, l’administration demande aux entreprises une vigilance permanente, des contrôles stricts, des mises à jour régulières et une conformité exemplaire en matière de sécurité des données. Pourtant, dès qu’un service public est touché, les explications s’en tiennent souvent à un appel à la prudence et à la suspension ponctuelle du compte compromis. La question de la responsabilité et de la mise à niveau réelle des infrastructures reste largement sans réponse.
Ce que les entreprises doivent faire dès maintenant
Même si l’Urssaf n’a publié aucune instruction opérationnelle pour les employeurs, plusieurs actions s’imposent. Les directions RH devraient informer leurs salariés du risque élevé de tentatives de fraude reprenant leur identité professionnelle. Les services comptables et les cabinets d’expertise comptable doivent redoubler de prudence face à tout message prétendant provenir de l’Urssaf, surtout s’il évoque un paiement urgent, une régularisation ou une transmission de documents.
Il est également utile de rappeler en interne que l’Urssaf ne demande jamais de numéros de carte bancaire par courriel, ne transmet pas de liens de paiement directs et ne force pas un collaborateur isolé à transmettre des informations confidentielles par mail. Ce type de message doit immédiatement être considéré comme suspect. Les entreprises peuvent également envisager de renforcer l’authentification multi-facteurs sur leurs propres interfaces, même si cela ne compense évidemment pas les faiblesses d’un partenaire institutionnel.