Ce que l'on sait du possible piratage de 600 000 comptes de la CAF, revendiqué par un groupe de hackers mais démenti par l'organisme

L'enchaînement a de quoi inquiéter. Quelques jours après des piratages massifs de prestataires de tiers payant, qui pourraient avoir compromis les données de près de 33 millions de Français bénéficiaires de complémentaires santé, un groupe de hackers a affirmé, lundi 12 février, avoir piraté 600 000 comptes d'utilisateurs de la Caisse d'allocations familiales (CAF). Mais de sérieux doutes planent sur la véracité de leur revendication, et l'organisme dément toute intrusion. On vous résume l'affaire.

Un groupe de hackers prétend avoir piraté 600 000 comptes

Les premières inquiétudes sont apparues lundi 12 février, quand le groupe de hackers LulzSec a revendiqué sur la messagerie Telegram et le réseau social X le piratage de 600 000 comptes de la CAF. Ce groupe est notamment connu pour avoir participé aux piratages massifs du PlayStation Network et de Sony Pictures en 2011.

Pour étayer ses dires, LulzSec a publié des captures d'écran présentées comme celles de quatre comptes d'utilisateurs piratés. Ceux-ci contiennent des informations particulièrement sensibles : on retrouve notamment le nom des allocataires, leur situation familiale, leur adresse, leur numéro de téléphone, ainsi que le montant et la date du dernier versement perçu par la Caisse d'Allocations familiales.

Un des membres revendiqués de LulzSec a également publié sur X une liste de données partiellement floutées, laissant entendre qu'un nombre bien plus important d'usagers avait été touché. Mais elle ne montre que quelques dizaines de lignes d'un fichier. Aucun échantillon précis n'a pour le moment été publié, contrairement à ce que font souvent les pirates pour réclamer une rançon ou attirer des acheteurs potentiels.

La Caf dément toute intrusion...

Contredisant les affirmations de LulzSec, la CAF a démenti avoir été victime d'un piratage, mercredi. Après avoir fermé volontairement son portail plusieurs heures "par précaution" entre lundi et mardi, l'organisme assure dans un communiqué qu'"aucune faille de sécurité n'a été détectée sur le site caf.fr", et que l'événement n'a "aucun impact" sur les démarches et paiements des allocataires.

Les captures d'écran de quatre comptes d'utilisateurs présentées par LulzSec sont pourtant bien authentiques. "Les quatre comptes allocataires publiés par les pirates ont manifestement été consultés suite à piratage du mot de passe", détaille la CAF, qui précise qu'"aucune démarche n'a été effectuée sur ces quatre comptes (...), l'accès aux RIB n'étant pas possible". Auprès de franceinfo, la CAF ajoute que "les quatre allocataires identifiés ont été contactés et leurs comptes complètement sécurisés".

Comment les hackers ont-ils pu avoir accès à ces comptes ? Pas besoin de piratage de masse pour obtenir quelques identifiants : ils pourraient avoir lancé une campagne de hameçonnage par e-mail ou SMS, ou utilisé des données obtenues par d'autres acteurs malveillants.

L'historique du groupe LulzSec incite également à prendre ses affirmations avec des pincettes. "Il était connu pour avoir orchestré quelques attaques, d'ailleurs pas démentielles d'un point de vue technique, mais surtout pour avoir fait de l'esbroufe et diffusé des annonces un peu amplifiées", détaille auprès du Parisien Gérôme Billois, expert en cybersécurité au sein du cabinet Wavestone.

... mais invite à la prudence

Malgré ces nombreux doutes, les enquêtes se poursuivent pour éclaircir l'ampleur réelle des vols d'identifiants. "Une plainte a été déposée et un signalement à la Cnil a été effectué", confirme la CAF à franceinfo. Elle recommande à ses utilisateurs de modifier leur mot de passe, "particulièrement si vous avez l'habitude de l'utiliser aussi pour accéder à d'autres sites". L'organisme dit avoir fermé son site dans la nuit de mardi à mercredi pour "renforcer la sécurité des mots de passe".

De son côté, LulzSec affirme déjà préparer ses prochains coups. "Nous allons frapper plus fort en ciblant les Jeux olympiques à Paris", a affirmé le groupe sur Telegram dans la nuit de mardi à mercredi. Il assure déjà avoir temporairement incapacité une page du site officiel de réservation pour les Jeux de Paris 2024, probablement via des attaques par déni de service (DDoS), qui saturent un site internet de requêtes pour le rendre temporairement inaccessible, mais dont les conséquences à long terme sont souvent nulles. La page était de nouveau accessible mercredi matin.