CAF : finalement « plusieurs milliers de comptes » d’allocataires compromis, le changement de mot de passe obligatoire

Des pirates ont pu accéder aux comptes de “plusieurs milliers” d’allocataires, a indiqué la Cnaf ce vendredi. (Illustration) LP/Arnaud Dumontier

Elle avait initialement évoqué seulement quatre comptes compromis, mais « après plusieurs jours d’investigations », voilà que ce sont en fait « plusieurs milliers de comptes » d’allocataires qui « ont été visités de manière illégitime », indique la Caisse nationale des allocations familiales (Cnaf) dans un communiqué, publié ce vendredi, plus de dix jours après l’annonce par un groupe de hackers du piratage de « 600 000 comptes ».

«Ã‚ Des personnes malveillantes se sont connectées à des comptes d’allocataires avec leurs mots de passe réels, volés et mis à disposition sur le darkweb », indique la Cnaf. Le site de la Caisse d’allocations familiales n’a pas été directement piraté, mais c’est à partir de données piratées sur d‘autres sites – des mails et des mots de passe – que des pirates ont pu se connecter aux comptes d’allocataires. Le groupe LulzSec, qui avait revendiqué le piratage du site de la CAF, avait ainsi publié des captures d’écran de l’espace personnel de quatre allocataires comme « preuve » de leur méfait.

Risque de détournement des aides…

«Ã‚ Les personnes malveillantes ne peuvent accéder aux coordonnées bancaires (RIB), mais pourraient tenter de les modifier », alerte la Cnaf dans son communiqué. Mais de préciser : « Le changement de coordonnées bancaires en ligne fait l’objet de contrôles de sécurité pour vérifier que le changement est légitime. » C’est un conseiller qui doit valider le changement « en cas de doute », précise la Cnaf. « Aucune démarche n’a été effectuée, notamment visant à capter les prestations des allocataires concernés, l’accès aux RIB n’étant pas possible », avait initialement indiqué la Cnaf dans un communiqué.

Cet événement pousse la Cnaf à prendre des « mesures fortes pour renforcer la sécurité des données des allocataires ». Ainsi, le niveau de sécurité des mots de passe pour les nouveaux comptes a été renforcé. Depuis jeudi, les allocataires ont reçu un mail les invitant à changer de mot de passe. À compter du 8 mars, ils devront tous le faire dès qu’ils se connecteront à leur compte. Une plainte a été déposée.