CAF : tous les allocataires devront changer leur mot de passe après que "plusieurs milliers de comptes" ont été compromis

La Caisse nationale d'allocation familiale dément tout piratage. Selon elle, les mots de passe ont été "volés" et mis à disposition sur le darkweb.

Luc Chagnon

France Télévisions

Publié le 27/02/2024 17:28 Mis à jour le 27/02/2024 18:26

Temps de lecture : 2min

Une enseigne de la Caisse d'allocations familiales, à Auch (Gers), le 2 janvier 2024. (JEAN-MARC BARRERE / HANS LUCAS / AFP)

Le diagnostic s'alourdit. Après avoir annoncé que seuls quatre comptes de bénéficiaires des allocations familiales avaient été compromis par des pirates informatiques, la Caisse nationale d'allocations familiales (Cnaf) a finalement détecté que "plusieurs milliers de comptes ont été visités de manière illégitime", selon un communiqué du vendredi 23 février. Tous les allocataires devront donc obligatoirement changer leur mot de passe dans les prochains jours.

Un groupe de pirates informatiques affirmait avoir piraté plus de 600 000 comptes d'allocataires de la CAF le 12 février. L'organisme avait démenti toute faille de sécurité, mais précisait que "les investigations [étaient] en cours". Vendredi, la Caisse nationale d'allocations familiales était finalement en mesure d'affirmer qu'"une violation de données est avérée" et que "des personnes malveillantes se sont connectées à des comptes d’allocataires".

#Presse 🗞️ #cybersecurite 💻

Face aux risques de cyber-malveillance, la Cnaf renforce la sécurité des comptes de ses allocataires.

✅Incitation à la mise à jour du mot de passe
✅Mise en place d'un mot de passe + complexe d'au moins 10 caractères.https://t.co/6kQifOudbR pic.twitter.com/BYCsXDEuvu
— Allocations Familiales (@cnaf_actus) February 23, 2024

L'organisme dément toujours tout piratage du site : selon la Cnaf, les mots de passe des allocataires ont été préalablement "volés et 'mis à disposition' sur le 'darkweb'". Un vol de données qui ne nécessite pas d'intrusion sur la plateforme, les identifiants pouvant être récupérés via une campagne de mails ou SMS frauduleux par exemple.

Changement de mot de passe obligatoire

Le principal risque de ces "visites", le détournement des allocations, devrait être limité, selon la Caisse nationale d'allocations familales. "Les personnes malveillantes ne peuvent pas accéder aux coordonnées bancaires, mais pourraient tenter de les modifier", rappelle l'organisme, qui note cependant que leur modification "fait l’objet de contrôles de sécurité" et qu'"en cas de doute, la démarche est validée par un conseiller allocataire avant que le changement ne soit effectif".

"Chaque allocataire dont il est attesté que le compte a été visité est contacté et son mot de passe réinitialisé", ajoute la Cnaf. L'institution assure également que "le niveau de sécurité des mots de passe pour les nouveaux comptes a été renforcé" et va imposer à tous les allocataires qui voudraient se connecter après le 8 mars de changer leur mot de passe.

L'organisme donne plusieurs conseils pour un mot de passe sécurisé : "différent pour chaque site", "complexe" avec "plus de 10 caractères et au moins un chiffre, une minuscule et une majuscule", et "communiqué à personne, pas même à la CAF". "Une plainte a été déposée et un signalement à la Cnil effectué, l’enquête est en cours", précise-t-il.