Une fuite de données attribuée à l’Urssaf vise potentiellement 12 millions de salariés, selon un communiqué publié lundi. L’organisme a lancé un appel à la vigilance face aux risques d’hameçonnage après la détection d’un accès frauduleux à une interface contenant des données des déclarations préalables à l’embauche, réservée à ses partenaires institutionnels. Les données consultées et potentiellement extraites comprenaient les noms, prénoms, dates de naissance, les numéros Siret des employeurs et les dates d’embauche; en revanche, aucun numéro de sécurité sociale, adresse email ou postale, numéro de téléphone ou coordonnée bancaire n’est concerné. L’Urssaf a suspendu les accès du compte compromis et déposé une plainte auprès du procureur de la République. Mi-novembre, Pajemploi avait déjà été victime d’un vol de données qui avait pu concerner jusqu’à 1,2 million de salariés de particuliers employeurs.
Urssaf et 12 millions de salariés concernés
Selon le communiqué, l’accès non autorisé aurait été opéré via un compte partenaire habilité à consulter ces informations, et les identifications de connexion liées à ce compte avaient été volées lors d’un acte de cybermalveillance antérieur visant ce partenaire.
« L’Urssaf a constaté un accès non-autorisé à l’API (l’interface, NDLR) contenant certaines données de la déclaration préalable à l’embauche, réservée à ses partenaires institutionnels, opéré via un compte partenaire habilité dont les identifiants avaient été compromis », explique l’institution dans un communiqué.
Les premières investigations révèlent que l’accès frauduleux (…) a été opéré via un compte partenaire habilité à consulter ces informations, car les identifications de connexion liées à ce compte avaient été volées lors d’un acte de cybermalveillance antérieur visant ce partenaire.
Mi-novembre, l’Urssaf avait indiqué que le service Pajemploi avait déjà été victime d’un vol de données, qui avait pu concerner « jusqu’à 1,2 million de salariés de particuliers employeurs ».
Les données touchées excluent les numéros de sécurité sociale, les adresses postales, les numéros de téléphone et les coordonnées bancaires, précise l’institution.
Mesures et vigilance face au phishing
L’Urssaf a suspendu les accès du compte compromis et a déposé une plainte auprès du procureur de la République. L’institution appelle à la vigilance face au phishing, rappelant que l’arnaque consiste à se faire passer pour un interlocuteur légitime et à demander des informations personnelles, notamment bancaires.
Les autorités indiquent que les enquêtes se poursuivent et que les employeurs et les salariés doivent rester prudents face à des messages demandant des données sensibles.