Piratage de la CAF : des milliers de comptes finalement touchés, changement de mot de passe obligatoire

L'ampleur de l'incident qui a visé la CAF mi-février est plus importante que prévu. La Caisse nationale des allocations familiales a fait savoir vendredi 23 février que des milliers de comptes d'allocataires avait finalement fait l'objet d'une violation de leurs données au début du mois. À l'époque, l'organisme avait confirmé la compromission des comptes de quatre usagers dont les informations avaient été mises en avant par des pirates appartenant à un groupe dénommé LulzSec. Ces derniers revendiquaient alors le piratage de 600.000 comptes d'allocataires.

L'enquête menée par la CAF a permis de circonscrire le périmètre de l'incident qui passe donc de quatre à plusieurs milliers de comptes visités de manière illégitime. "Des personnes malveillantes se sont connectées à des comptes d’allocataires avec leurs mots de passe réels, volés et  "mis à disposition" sur le "darkweb"", écrit l'organisme dans un communiqué transmis à RTL le 23 février. La CAF assure qu'aucune faille de sécurité de son site n'a été exploitée.

Les accès aux comptes compromis ont pu être dérobés par des mails ou des SMS de hameçonnage, ou encore par des infostealers, des discrets logiciels malveillants voleurs d'informations qui prospèrent au fil des mois. Le groupe Lulzsec, a priori sans lien avec l'ancien groupe de hackers historique dissout en 2011, s'est illustré récemment par des annonces qui ne se sont pas toujours révélées fondées. Pour l'heure, les pirates n'ont apporté aucune preuve permettant d'accréditer leur prétendu vol de données de 600.000 allocataires.

Changement de mot de passe obligatoire pour tous les usagers

Les personnes concernées ont été contactées par l'organisme qui dit avoir réinitialisé les mots de passe de ces usagers afin de bloquer l'accès de leur compte à des personnes non autorisées. La CAF met en garde contre un risque de détournement des allocations. "Les personnes malveillantes ne peuvent pas accéder aux coordonnées bancaires (RIB), mais pourraient tenter de le modifier. Toutefois, le changement de coordonnées bancaires en ligne fait l’objet de contrôles de sécurité pour vérifier que le changement est légitime. En cas de doute, la démarche est validée par un conseiller allocataire avant que le changement ne soit effectif", est-il précisé.

En réponse à ces violations, la CAF a pris des mesures pour renforcer la protection de ses usagers. "Depuis la semaine dernière, le niveau de sécurité des mots de passe des nouveaux comptes a été renforcé", écrit l'organisme. Une campagne d'incitation au changement de mot de passe a été lancée le 22 février et le changement de mot de passe sera obligatoire à partir du 8 mars pour les personnes qui ne l'ont pas encore fait. Des tutoriels seront proposés en soutien. Pour rappel, un bon mot de passe doit être composé de majuscules, minuscules, de chiffres et de plus de 10 caractères. Il doit être impossible à deviner et être différent pour chaque compte possédé en ligne.