Un immense fichier de 15 Go, décrit par ses auteurs comme un « cadeau de Noël », circule depuis le 18 décembre 2025 sur un forum criminel. Il renferme plus de 22 millions de lignes de données issues de la Caisse d’allocations familiales (CAF). Identités complètes, adresses, numéros de téléphone : la quasi-totalité des 13,5 millions de foyers allocataires français est désormais exposée, faisant de cette fuite la plus grave jamais subie par un organisme social en France.
L’ampleur inédite de la brèche
Pour mieux saisir l’étendue du problème, quelques chiffres parlent d’eux-mêmes :
- 15 Go de données brutes, soit l’équivalent de près de 10 000 romans numériques.
- 22 millions de lignes comprenant : nom, prénom, adresse postale, courriel, numéro de téléphone, statut familial et références d’allocataire.
- 13,5 millions de foyers concernés, c’est-à-dire environ 85 % des bénéficiaires enregistrés au moment du vol.
À titre de comparaison, les précédentes fuites touchant la CAF dépassaient rarement quelques dizaines de milliers de dossiers ; nous assistons ici à un changement d’échelle radical, comparable aux plus grandes affaires de vol de données dans le monde bancaire ou la santé.
Identité des pirates : vengeance, défi ou opportunisme ?
Les auteurs revendiquent également une attaque récente contre les forces de l’ordre qui a fait fuiter 16,4 millions d’enregistrements policiers. Parmi les pseudonymes évoqués figurent ShinyHunters, Noct ou encore IntelBroker, noms déjà cités dans des cyber-incidents internationaux.
Dans leur message, les hackers affirment agir « par vengeance » et présenter le fichier comme un présent empoisonné, preuve d’une volonté de frapper l’État social français là où il est le plus visible : la CAF, le ministère de l’Intérieur, la DGFIP, ou encore la CNAV. Certains experts avancent l’hypothèse d’un point d’entrée commun ; le dispositif Pass’Sport, qui agrège les bases de plusieurs organismes, pourrait avoir joué le rôle de passerelle.
Risques concrets pour les allocataires
Quelles menaces planent désormais sur les bénéficiaires ? Les scénarios d’exploitation sont nombreux :
- Phishing ciblé : un fraudeur se fait passer pour un agent CAF, fournit votre vrai numéro d’allocataire et demande une mise à jour de coordonnées bancaires.
- Usurpation d’identité : avec votre nom, votre adresse et la composition de votre foyer, il devient plus facile d’ouvrir un compte bancaire ou de souscrire un crédit en ligne.
- Revente de données : sur les places de marché clandestines, un lot d’informations complètes se négocie entre 5 € et 20 € l’unité selon sa fraîcheur et sa précision.
Selon des études du secteur de la cybersécurité, 60 % des victimes d’une fuite de données subissent au moins une tentative d’arnaque dans les six mois qui suivent.
Bons réflexes pour limiter l’impact
- Modifier sans délai votre mot de passe CAF, en privilégiant une phrase de passe d’une douzaine de mots.
- Activer la double authentification (2FA) ; la CAF propose l’envoi d’un code unique par SMS ou via une application d’authentification.
- Surveiller vos relevés bancaires et signaler tout mouvement inhabituel ; un virement inconnu de 1 € peut précéder une fraude plus importante.
- Refuser de communiquer la moindre information personnelle par téléphone ou courriel, même si l’interlocuteur dispose de données crédibles sur votre foyer.
- En cas de suspicion d’usurpation d’identité, déposer plainte et effectuer une déclaration auprès du service dédié du ministère de l’Intérieur.
Obligations légales et suites probables
Le RGPD impose à la CAF de notifier la Commission nationale de l’informatique et des libertés dans un délai maximal de 72 heures. Cette déclaration déclenche généralement :
- Une enquête conjointe de la CNIL et de l’ANSSI pour identifier la faille technique.
- La mise en demeure de renforcer les protocoles de chiffrement, de stockage et de journalisation des accès.
- La communication individuelle à chaque personne potentiellement touchée, avec recommandations personnalisées.
Des sanctions administratives peuvent atteindre 4 % du chiffre d’affaires annuel d’une entreprise ; dans le cas d’un organisme public, la pression est plutôt d’ordre politique et médiatique, avec une exigence de transparence accrue vis-à-vis des citoyens.
Une tendance lourde : des services publics sous tension
Cette attaque n’est pas un cas isolé. En moins de trois ans, la Sécurité sociale, les mutuelles étudiantes et plusieurs collectivités territoriales ont déjà été victimes de cybercriminels. Les motivations varient : rançon, espionnage, sabotage ou simple recherche de visibilité. Ce contexte rappelle l’importance d’investir massivement dans la cybersécurité des services publics, mais aussi de sensibiliser les usagers.
En attendant des mesures structurelles, la vigilance individuelle demeure la meilleure barrière : un mot de passe complexe, une double authentification systématique et un œil attentif sur ses relevés bancaires peuvent faire la différence entre un incident et un cauchemar financier.
Bertrand, rédacteur chevronné, explore l’univers du gaming avec une attention particulière aux nouvelles sorties et aux stratégies de jeu. Il offre un point de vue éclairé sur les évolutions du secteur et les impacts sur la culture numérique.
