Piratage de la CAF : vos données sont-elles concernées et que faire ?
8,6 millions de personnes. C’est le nombre d’allocataires dont les données personnelles se retrouvent dans la nature après le piratage qui vise la CAF. Pas un petit fichier de test : un lot de 22 millions de lignes d’informations, revendiqué par un groupe de pirates baptisé Indra, mis en vente sur un forum criminel.
Si vous touchez des prestations familiales, il y a donc une vraie chance que votre nom soit dans le tas. La question n’est pas de savoir qui est responsable, c’est de savoir ce que vous risquez concrètement et quoi faire ce soir. Je vous explique ce qui a fuité, ce qui n’a pas fuité, et les réflexes à prendre pour ne pas transformer cette fuite en arnaque bien réelle sur votre compte.
📌 L’essentiel à retenir
Le piratage de la CAF expose les données de 8,6 millions d’allocataires : nom, adresse, e-mail, téléphone, date de naissance et identifiant CAF. Bonne nouvelle, aucune donnée bancaire n’a fuité. Le vrai risque, c’est l’arnaque par e-mail ou SMS qui exploite ces infos pour vous soutirer votre RIB. Mes trois réflexes : ne cliquez sur aucun lien reçu, tapez caf.fr vous-même, et changez votre mot de passe s’il traîne ailleurs. Méfiez-vous comme de la peste de tout message qui réclame vos coordonnées bancaires.
Ce qui a fuité, et ce qui n’a pas fuité
Commençons par le concret. D’après les informations relayées par la presse spécialisée, le fichier diffusé contient un cocktail d’informations d’identité : nom, prénom, adresse postale, adresse e-mail, numéro de téléphone et date de naissance. S’y ajoutent des données propres à l’organisme, comme le matricule ou l’identifiant CAF, et, plus gênant, les numéros INE (identifiant national élève) d’enfants et d’étudiants rattachés aux dossiers.
La bonne nouvelle, si on peut appeler ça comme ça : aucune donnée bancaire ne figure dans le lot. Pas de numéro de carte, pas de RIB directement exposé. Un pirate ne peut donc pas débiter votre compte juste avec ce fichier. Le danger est ailleurs, et il est plus sournois. Sachez aussi que la fuite ne toucherait pas que les allocataires de la CAF : des bénéficiaires de la MSA (la sécurité sociale agricole) et du CNOUS (les bourses étudiantes) seraient également concernés.
Pourquoi ces données valent de l’or pour les arnaqueurs
Un nom seul ne vaut pas grand-chose. Un nom collé à une adresse, un e-mail, un téléphone, une date de naissance et un identifiant d’organisme, ça change tout. Avec ce niveau de détail, un escroc peut fabriquer un message qui a l’air parfaitement officiel et personnalisé. C’est ce qu’on appelle le phishing ciblé (hameçonnage sur mesure, en français).
Concrètement, imaginez un e-mail qui vous appelle par votre nom, cite votre numéro d’allocataire et vous annonce un « trop-perçu à rembourser » ou un « versement bloqué à débloquer ». Il paraît crédible parce qu’il contient de vraies informations sur vous. Le piège se referme au moment où on vous demande vos coordonnées bancaires pour « recevoir votre dû » ou « régulariser ». Les données bancaires n’ont pas fuité, alors les arnaqueurs vont tout faire pour que vous les leur donniez vous-même. C’est là que se joue le vrai risque.
La CAF dément une intrusion directe : ça change quoi pour vous ?
Petit point sur la version officielle, parce qu’elle a son importance. La CNAF (la caisse nationale, la maison mère des CAF) affirme que son propre système d’information n’a pas été percé directement et pointe une origine extérieure, du côté d’un partenaire. Autrement dit, la porte n’aurait pas cédé chez elle, mais chez un intermédiaire qui manipulait ces données.
Pour vous, en pratique, ce débat sur l’origine ne change pas grand-chose. Que la fuite vienne de la CAF ou d’un prestataire, si vos informations circulent sur un forum de pirates, le risque d’arnaque est le même. Ne comptez donc pas sur le règlement du bras de fer pour vous protéger : partez du principe que vos données peuvent servir, et blindez-vous en conséquence.
Ce que je ferais dès maintenant
Pas la peine de paniquer ni de fermer votre compte. Quelques réflexes suffisent à couper l’herbe sous le pied des escrocs. Voici l’ordre dans lequel je m’y prendrais :
- Traitez tout message « CAF » avec méfiance. E-mail, SMS ou appel : à partir d’aujourd’hui, considérez que celui qui vous contacte au nom de la CAF n’est pas forcément la CAF.
- Ne cliquez sur aucun lien reçu par mail ou SMS pour accéder à votre compte. Tapez vous-même caf.fr dans votre navigateur, ou passez par l’application officielle. C’est le geste qui neutralise 90 % de ces arnaques.
- Changez le mot de passe de votre espace CAF, surtout si vous l’utilisez ailleurs (même mot de passe sur la boîte mail ou les boutiques en ligne). Un mot de passe long et unique par service, c’est la base.
- Vérifiez les coordonnées bancaires enregistrées dans votre espace personnel. Assurez-vous que le RIB sur lequel vous êtes payé est bien le vôtre et n’a pas été modifié.
- Surveillez vos relevés les prochaines semaines. Au moindre prélèvement bizarre, contactez votre banque sans attendre.
Un mot sur les mots de passe, parce que c’est le nerf de la guerre. Si vous réutilisez le même partout, un pirate qui récupère votre e-mail dans cette fuite va le tester sur tous vos comptes. Un gestionnaire de mots de passe règle le problème une fois pour toutes : il en génère un différent pour chaque site et les retient à votre place.
Comment reconnaître un faux message « CAF »
Les faux messages vont se multiplier dans les semaines qui viennent, c’est mécanique. Bonne nouvelle : ils ont presque toujours les mêmes tics. Voici les signaux qui doivent allumer un voyant rouge :
- Une urgence artificielle : « votre dossier sera suspendu sous 48 h », « dernière relance avant blocage ». La vraie administration ne vous met pas le couteau sous la gorge par SMS.
- Une demande de coordonnées bancaires pour recevoir un versement. La CAF a déjà votre RIB, elle ne va pas vous le redemander par mail.
- Un lien qui ne pointe pas vers caf.fr. Passez la souris sur le lien (sans cliquer) pour voir l’adresse réelle : si ce n’est pas exactement caf.fr, c’est un piège.
- Des fautes, une adresse d’expéditeur bancale, un ton qui sonne faux. Ça reste un bon indice, même si les arnaques sont de mieux en mieux ficelées.
Si vous recevez ce genre de message, ne répondez pas et signalez-le. La plateforme cybermalveillance.gouv.fr propose de l’aide et des fiches réflexes, et vous pouvez transférer un SMS suspect au 33 700, le service officiel de signalement des spams.
Au-delà de l’arnaque : le risque d’usurpation d’identité
Le phishing n’est pas le seul danger. Avec votre nom, votre adresse, votre date de naissance et un identifiant officiel, un escroc a de quoi tenter une usurpation d’identité : ouvrir un abonnement à votre nom, monter un dossier bidon ou se faire passer pour vous auprès d’un autre organisme. C’est plus rare et plus long à monter qu’une simple arnaque par mail, mais ça existe. Le réflexe qui protège : gardez un œil sur votre courrier et vos comptes, et réagissez au premier document que vous n’avez pas demandé (facture, relance, contrat inconnu). Plus vous repérez tôt, plus c’est facile à faire annuler.
À retenir
Trois choses à faire en sortant de cet article. Un : pour accéder à votre compte, tapez caf.fr vous-même, ne cliquez jamais sur un lien reçu par mail ou SMS. Deux : changez votre mot de passe CAF s’il traîne aussi ailleurs, et vérifiez le RIB enregistré dans votre espace. Trois : aucune donnée bancaire n’a fuité, alors méfiez-vous comme de la peste de tout message qui vous en réclame. Cette fuite est embêtante, mais elle ne devient dangereuse que si vous mordez à l’hameçon. Ne mordez pas.
Foire aux questions
Il n’existe pas d’outil officiel pour vérifier ligne par ligne. Partez du principe que si vous touchez des prestations CAF, MSA ou une bourse du CNOUS, vos données peuvent être dans le lot. Dans le doute, appliquez les réflexes de prudence comme si vous étiez concerné.
En cas de fuite avérée, un organisme est tenu d’informer les personnes concernées. Ne comptez pas dessus pour agir. Et méfiez-vous : un e-mail « d’information sur la fuite » peut lui-même être un piège. Ne cliquez sur aucun lien, connectez-vous en tapant caf.fr vous-même.
Non. Votre matricule CAF seul ne permet pas de vous débiter. Il sert surtout à rendre les faux messages crédibles, puisqu’un escroc peut le citer pour se faire passer pour la CAF. Le danger commence quand vous communiquez vous-même vos coordonnées bancaires.
Ne saisissez rien de plus et fermez la page. Si vous avez tapé votre mot de passe CAF, changez-le tout de suite, ainsi que celui de votre boîte mail si c’est le même. Si vous avez donné un numéro de carte, appelez votre banque pour faire opposition, puis surveillez vos comptes les jours suivants.
Une plainte individuelle a peu d’effet tant que l’enquête est en cours. Le plus utile : signaler tout message frauduleux sur cybermalveillance.gouv.fr et transférer les SMS suspects au 33 700. En revanche, si vous constatez un prélèvement frauduleux, déposez plainte et prévenez votre banque sans attendre.





Commentaires
Laisser un commentaire