Vol de données chez Pajemploi : phishing, usurpation d'identité... Ce que risquent les 1,2 million de personnes concernées

C'est une fuite de données massive qui vise un nouveau fichier central de l'administration et met potentiellement en péril l'intégrité des informations personnelles de plus d'un million de salariés à domicile liés à la petite enfance. 

Le service de l'Urssaf Pajemploi, dédié à la déclaration et la rémunération des assistants maternels et gardes d'enfants à domicile, a été victime d'un vol de données le 14 novembre, a révélé l'organisme de droit privé dans un communiqué publié lundi 17 novembre. Selon les décomptes de l'Urssaf, cet incident, présenté comme "un acte de cybermalveillance", concerne potentiellement "jusqu'à 1,2 million de salariés de particuliers employeurs". Une enquête est en cours pour déterminer l'ampleur exacte de l'intrusion.

A priori, ce vol de données ne vise pas les familles qui utilisent la plateforme Pajemploi pour déclarer l'emploi d'une garde d'enfants à domicile et éditer des bulletins de salaire. Il touche en priorité les salariés déclarés par ces parents-employeurs : des assistantes maternelles, des nounous, mais aussi des baby-sitters ou des personnes assurant une activité complémentaire liée à l'enfant, comme l'aide aux devoirs ou l'accompagnement périscolaire.

Les informations susceptibles d'avoir été extraites incluent l'état civil, la date de naissance, l'adresse postale, le numéro de sécurité sociale, le numéro Pajemploi, le numéro d'agrément (pour les assistantes maternelles) et les noms des établissements bancaires utilisés pour payer ces salariés à domicile. L'Urssaf assure qu'aucun IBAN, mail, téléphone ni mot de passe ne figurent parmi les données compromises. 

Les personnes touchées par cette fuite de données ont commencé à recevoir des notifications par courriel de la part de l’Urssaf. Comme a pu le constater RTL, certaines victimes ont été notifiées pour des prestations réalisées plusieurs années en arrière. L'administration se réserve en effet la possibilité de conserver, pendant une durée d’au moins 6 ans, les documents nécessaires en cas de contrôle de l’Urssaf ou pour le recouvrement des cotisations sociales.

Un risque de phishings ciblés aux couleurs de l'Urssaf

Si vous faites partie des personnes touchées par la fuite, commencez par évaluer la nature des informations compromises et ce que cela implique pour vous. Les données d’identité ou de contact ne figurent pas parmi les plus sensibles : elles sont souvent accessibles sur de nombreux services en ligne et ont, dans bien des cas, déjà pu circuler lors de précédentes fuites.

Le cas du numéro de sécurité social et des établissements bancaires utilisés pour payer les prestations à domicile est plus problématique, car ces informations vont permettre aux escrocs de personnaliser des attaques de phishing pour paraître plus crédibles aux yeux des victimes en s'appuyant sur des éléments réels de leur parcours et de leur identité administrative. "Même si les comptes bancaires ou mots de passe n’ont pas été compromis, la quantité et la nature des données volées entrainent des risques d’usurpation d’identité, de fraudes administratives ou de tentatives de phishing ciblé", résume Benoît Grunemwald, expert cybersécurité chez Eset.

La principale recommandation est donc d'être extrêmement vigilant face aux SMS, aux mails, aux appels et aux sollicitations que vous recevez et de ne jamais donner suite. Il convient d'être particulièrement prudent face aux communications liées à l'emploi, aux cotisations sociales ou aux droits à la retraite qui pourraient vous êtres adressées dans les prochaines semaines. Des escrocs pourraient facilement utiliser la charte graphique de l'Urssaf ou de Pajemploi pour piéger les victimes avec de faux mails leur demandant de renseigner des données personnelles ou bancaires pour valider des droits passés ou récupérer une cotisation oubliée.

La perte du numéro de sécurité sociale implique un risque d'usurpation d'identité

Le point le plus sensible est la perte du numéro de sécurité sociale, un numéro unique et permanent, au cœur de l'identification des Français dans les démarches administratives. Si la recommandation veut que l'on change un mot de passe en cas de doute, le numéro de sécurité social est définitif. Une fois compromis, il peut être utilisé pour accéder à de nombreux services officiels en ligne.

Faites notamment attention à la plateforme FranceConnect. Si vous souhaitez déclarer un passeport perdu, demander une carte Vitale, consulter les points restants sur votre permis ou dépenser vos crédits formation, il est possible d’utiliser vos codes de connexion au site de l'Assurance maladie, et donc votre numéro de sécurité sociale, pour vous authentifier. Il est donc important de vérifier que vos accès aux principales plateformes de FranceConnect, le site des impôts, Ameli.fr, le Compte formation ou le portail dédié aux retraites, sont bien protégés par un mot de passe fort que vous avez choisi. Connectez-vous à vos espaces sur ces plateformes pour vérifier qu'il n'y a pas eu de connexion suspecte dans les prochaines semaines. Et mettez en place la double authentification tant que possible.

La perte du numéro de sécurité sociale est aussi problématique dans la mesure où elle expose les victimes à un risque d'usurpation d'identité. En recoupant cette donnée avec les informations issues des nombreuses fuites de données disponibles sur le dark Web, des cybercriminels peuvent reconstituer l'identité numérique d'une personne et utiliser ces dossiers pour mener des démarches frauduleuses à leur insu. Des centaines de personnes découvrent ainsi chaque année que des crédits à la consommation ont été souscrits en leur nom. 

Vérifiez les mouvements sur vos comptes les plus sensibles

Pour se prémunir de tels risques, il peut être utile de porter plainte, ou à défaut, de déposer une main courante pour notifier la perte de vos informations personnelles qui vous expose à une future usurpation d'identité. Cette démarche vous sera utile si cela vous arrive à l'avenir. 

Ce vol d'informations implique aussi une vigilance renforcée sur le long terme. Surveillez les mouvements sur vos différents comptes, soyez attentif à la bonne réception des factures et du courrier en général. En cas de doute, vous pouvez vérifier qu'aucun compte n'a été ouvert à votre nom sous votre identité en consultant le fichier des comptes bancaires FICOBA (via une saisie de la Cnil) ou en contactant directement la Banque de France.


Si vous estimez être victime d'une usurpation d'identité à la suite de ce vol de données, il est possible d'obtenir conseil sur la plateforme officielle 17Cyber et de déposer plainte auprès d'un commissariat ou d'une gendarmerie.

Enfin, si en théorie, le règlement général sur la protection des données prévoit un droit à une réparation du préjudice, il semble illusoire d'imaginer l'administration dédommager les victimes de ce vol de données. Même si le cadre juridique existe, le système français n’est pas conçu pour garantir une réparation effective aux victimes de fuite de données. L’obligation de démontrer un préjudice tangible, la faiblesse des actions collectives et l’absence de mécanisme public d’indemnisation maintiennent une situation paradoxale : même quand la CNIL condamne lourdement un acteur, les amendes bénéficient au Trésor public et les victimes ne reçoivent rien.

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

Je créé mon compte Se connecter

S’abonner à la Newsletter RTL Info