Piratage CAF 2024 : 600 000 Allocataires Français Exposés

"Vos allocations familiales, votre RSA, votre APL... et toutes les données personnelles qui vont avec : exposées sur le dark web. 600 000 Français concernés."

Sommaire

1. Ce Qui S'est Passé
2. Quelles Données Ont Été Volées ?
3. Les Risques Concrets
4. Qui Est Concerné ?
5. La Réponse de la CAF
6. Responsabilité et Recours
7. Comment Vous Protéger
8. Le Contexte : La CAF, Un Cas Parmi D'Autres
9. FAQ
10. Conclusion : Prenez Votre Sécurité en Main
11. Sources

En février 2024, un groupe de hackers a revendiqué le vol de données de 600 000 comptes CAF (Caisse d'Allocations Familiales). Nom, adresse, situation familiale, revenus, prestations perçues... des informations ultra-sensibles se sont retrouvées entre les mains de cybercriminels.

La CAF a d'abord nié, avant de reconnaître progressivement l'incident. Ce piratage révèle à quel point les données sociales des Français — parmi les plus sensibles qui soient — sont mal protégées.

Cet article fait le point sur ce que l'on sait, les risques pour les allocataires, et les mesures à prendre.

Ce Qui S'est Passé

Février 2024 : des hackers dérobent les données de 600 000 allocataires français.

Chronologie de l'Attaque

Le Scénario de l'Attaque

Selon les informations disponibles, les hackers ont procédé par credential stuffing (bourrage d'identifiants) :

1. Récupération de listes d'emails et mots de passe issus de fuites antérieures
2. Test automatisé de ces identifiants sur le site caf.fr
3. Accès réussi pour les comptes utilisant des mots de passe réutilisés
4. Extraction des données personnelles des comptes compromis

« Ce n'est pas une faille technique de la CAF au sens strict. Les hackers ont exploité la mauvaise hygiène de mots de passe des utilisateurs. Mais la CAF aurait dû avoir des protections contre ce type d'attaque. »

— Expert cybersécurité, BFM Tech

L'Ampleur Confirmée

📄 Source : CNIL - Fuite de données CAF

Quelles Données Ont Été Volées ?

Vos revenus, votre situation familiale, vos prestations : une radiographie complète de votre vie.

Les Données Exposées

La CAF collecte énormément d'informations sur ses allocataires. Lors de ce piratage, les données suivantes ont potentiellement été exposées :

Ce Que Ces Données Révèlent

Un profil CAF complet donne une radiographie complète de votre vie :

Situation économique :

• Revenus du foyer
• Niveau de précarité
• Dépendance aux aides

Situation familiale :

• Nombre d'enfants
• Situation matrimoniale
• Éventuel handicap dans le foyer

Situation logement :

• Type de logement
• Montant du loyer (pour l'APL)
• Adresse précise

Ces informations sont exceptionnellement sensibles car elles révèlent les vulnérabilités des personnes.

Les Risques Concrets

Les escrocs connaissent désormais votre vraie situation et vos vrais montants d'allocations.

1. Le Phishing Ultra-Ciblé "CAF"

Avec vos données, les escrocs peuvent créer des messages parfaitement crédibles :

Exemple de SMS frauduleux post-fuite :

*« CAF : Votre APL de 287€ sera versée le 05/03 sur le compte ***1234. Pour accélérer le versement, confirmez votre RIB : [lien] »

Ce message est terrifiants de crédibilité car il mentionne :

• Le vrai montant de votre APL
• Les 4 derniers chiffres de votre compte (extraits de vos données)
• Une date plausible

2. La Fraude aux Allocations

Un criminel en possession de vos données peut :

Modifier vos coordonnées bancaires :

• Changer le RIB de versement
• Détourner vos allocations vers un autre compte

Demander des prestations en votre nom :

• Déclarations de changement de situation frauduleuses
• Demandes de nouvelles aides

Usurper votre identité auprès de la CAF :

• Appeler le service client en se faisant passer pour vous
• Obtenir des informations complémentaires

3. Le Ciblage des Personnes Vulnérables

Les données CAF permettent d'identifier :

• Les familles monoparentales
• Les personnes en situation de handicap (AAH)
• Les personnes en grande précarité (RSA)
• Les personnes âgées dépendantes

Ces profils sont des cibles privilégiées pour les arnaques car :

• Plus vulnérables psychologiquement
• Moins formés au numérique souvent
• Dépendants financièrement de leurs allocations

4. L'Arnaque au Faux Agent CAF

Scénario classique post-fuite :

1. Appel téléphonique d'un "agent CAF"
2. Il connaît votre nom, adresse, situation, montants
3. Il annonce un "problème de versement"
4. Il demande de "confirmer votre RIB" pour débloquer
5. Vous donnez vos coordonnées bancaires → arnaque

« Depuis la fuite, nous constatons une explosion des appels frauduleux se faisant passer pour la CAF. Les escrocs ont toutes les informations pour être crédibles. »

— Association d'aide aux victimes

Qui Est Concerné ?

Mots de passe réutilisés, comptes sans 2FA : les profils ciblés par l'attaque.

Le Profil des Victimes

Les 600 000 comptes compromis ne sont pas aléatoires. Ce sont principalement des comptes dont les utilisateurs :

• Réutilisaient leur mot de passe
• Utilisaient un mot de passe faible (date de naissance, prénom, etc.)
• N'avaient pas activé la 2FA (authentification à deux facteurs)

Comment Savoir Si Vous Êtes Concerné ?

1. Notification de la CAF

La CAF a notifié par email les personnes concernées. Vérifiez :

• Votre boîte mail principale
• Vos spams
• L'email associé à votre compte CAF

2. Contacter la CAF

Vous pouvez contacter votre CAF locale pour demander confirmation :

• Par téléphone : le numéro sur caf.fr
• Par courrier
• Via la messagerie sécurisée de votre espace

3. Vérifier les connexions à votre compte

Connectez-vous à votre espace CAF et vérifiez :

• L'historique des connexions
• Les modifications récentes de données
• Le RIB enregistré

La Réponse de la CAF

Entre démenti initial et reconnaissance tardive, la CAF a peiné à gérer la crise.

La Communication Officielle

La CAF a :

• Confirmé l'incident après un premier démenti
• Notifié les personnes concernées
• Déclaré l'incident à la CNIL
• Renforcé (selon elle) les mesures de sécurité

Ce Qui Pose Question

Le démenti initial :

• Pourquoi la CAF a-t-elle d'abord nié l'attaque ?
• Quelle est la véritable ampleur ?

Les mesures de protection :

• Pourquoi le credential stuffing massif n'a-t-il pas été détecté ?
• Pourquoi la 2FA n'était-elle pas obligatoire ?
• Les comptes sensibles étaient-ils protégés ?

La notification :

• Tous les concernés ont-ils vraiment été notifiés ?
• Le délai de notification était-il conforme au RGPD ?

Responsabilité et Recours

Le RGPD impose des obligations strictes : la CAF les a-t-elle respectées ?

Les Obligations RGPD de la CAF

En tant que responsable de traitement, la CAF doit :

1. Sécuriser les données (Article 32)

   • Mesures techniques et organisationnelles appropriées
   • Protection contre les accès non autorisés

2. Notifier les violations (Article 33)

   • CNIL dans les 72h
   • Personnes concernées si risque élevé

3. Documenter les incidents (Article 33)

   • Nature de la violation
   • Mesures prises

L'Enquête de la CNIL

La CNIL a ouvert une enquête pour examiner :

• Les mesures de sécurité en place avant l'attaque
• La réactivité de la notification
• La conformité globale au RGPD

Sanctions possibles :

• Mise en demeure
• Amende (jusqu'à 20 millions € ou 4% du "CA")
• Injonction de renforcement

Vos Recours

Porter plainte à la CNIL :

• Formulaire en ligne sur cnil.fr
• Gratuit
• Peut aboutir à une sanction de l'organisme

Porter plainte en gendarmerie/police :

• Si vous constatez un préjudice (arnaque, usurpation)
• Conservez toutes les preuves

Rejoindre une action collective :

• Plusieurs associations lancent des procédures
• UFC-Que Choisir suit le dossier

Action individuelle :

• Demande de dommages et intérêts
• Devant le tribunal judiciaire

Comment Vous Protéger

Mots de passe robustes, 2FA activée, vigilance maximale : votre ligne de défense.

Actions Immédiates

1. Changer votre mot de passe CAF

• Mot de passe unique (jamais utilisé ailleurs)
• Long et complexe (12+ caractères)
• Utilisez un gestionnaire de mots de passe

2. Activer la double authentification

• Si disponible sur caf.fr
• Par SMS ou application

3. Vérifier votre compte

• RIB enregistré (le vôtre ?)
• Modifications récentes
• Historique des connexions

4. Surveiller vos allocations

• Vérifier les montants versés
• Contrôler le compte destinataire
• Signaler toute anomalie

Vigilance Renforcée

Méfiance absolue face aux contacts :

• La CAF ne vous demandera jamais votre mot de passe
• La CAF ne vous demandera jamais votre RIB par téléphone/SMS
• En cas de doute, raccrochez et rappelez le numéro officiel

Surveillance bancaire :

• Activez les alertes sur votre compte
• Vérifiez les prélèvements régulièrement
• Signalez tout mouvement suspect

Protection de Fond

📖 Guide complet : Comment Protéger Vos Données Personnelles

Le Contexte : La CAF, Un Cas Parmi D'Autres

Services publics français : une série noire de cyberattaques en 2024.

Les Fuites de Services Publics en 2024

La CAF n'est pas un cas isolé. Les services publics français accumulent les incidents :

📖 Bilan complet : La France, Passoire Numérique

Pourquoi Les Services Publics Sont Vulnérables

1. Sous-investissement en cybersécurité
2. Systèmes obsolètes (10-20 ans parfois)
3. Formation insuffisante du personnel
4. Priorité au fonctionnel plutôt qu'à la sécurité
5. Complexité administrative freinant les mises à jour

FAQ

Comment savoir si je suis dans les 600 000 victimes ?

La CAF devait notifier toutes les personnes concernées par email. Si vous n'avez rien reçu, vous n'êtes probablement pas directement touché. Cependant, vous pouvez contacter votre CAF pour confirmation.

Dois-je changer mon mot de passe même si je n'ai pas été notifié ?

Oui, c'est une bonne pratique. Profitez-en pour utiliser un mot de passe unique et activer la 2FA si disponible.

La CAF va-t-elle m'indemniser ?

Pas automatiquement. Cependant, si vous subissez un préjudice démontrable (arnaque, usurpation), vous pouvez engager une action. Des class actions sont en préparation.

Mes allocations sont-elles en danger ?

Si votre compte a été compromis, un criminel pourrait théoriquement modifier votre RIB pour détourner les versements. Vérifiez régulièrement que le RIB enregistré est bien le vôtre.

Je reçois des appels de la "CAF", comment savoir si c'est vrai ?

• La vraie CAF ne vous demandera jamais de données sensibles par téléphone
• Ne donnez jamais votre mot de passe, RIB ou numéro de carte
• Raccrochez et rappelez le numéro officiel (sur caf.fr)

Ce piratage est-il lié à France Travail ?

Non directement, ce sont deux incidents distincts. Cependant, si vous êtes concerné par les deux, les criminels peuvent croiser les données pour un profil encore plus complet.

Conclusion : Prenez Votre Sécurité en Main

Le piratage de la CAF illustre une réalité préoccupante : les organismes censés protéger les plus vulnérables sont eux-mêmes vulnérables.

Ce qu'il faut retenir :

1. 600 000 allocataires ont vu leurs données exposées
2. Les données CAF sont ultra-sensibles (revenus, situation familiale, vulnérabilités)
3. Les phishings vont être crédibles car les escrocs ont les vraies infos
4. L'État ne vous protège pas — prenez les mesures vous-même

La confiance envers les institutions s'érode. Face à cet échec, la seule réponse est de renforcer votre propre sécurité numérique : mots de passe uniques, double authentification, vigilance maximale.

Pour un guide complet de protection : Comment Protéger Vos Données Personnelles.

📚 Articles Connexes — Cybersécurité & Protection Données

• Piratage Operateurs Telecom Sfr Free Orange
• Protection Donnees Personnelles France Guide
• Piratage France Travail Pole Emploi Donnees
• Piratage Viamedis Almerys Mutuelle Sante
• Cyberattaques Hopitaux France Ransomware

Sources

• CNIL - Information sur les fuites de données
• BFM Tech - Piratage CAF février 2024
• Le Monde - Cyberattaque CAF
• Numerama - Analyse du piratage
• UFC-Que Choisir - Droits des victimes
• Communiqués officiels CAF