Piratage massif à l’URSSAF : 12 millions de salariés concernés par une fuite de données

Une intrusion par un partenaire institutionnel

L'organisme a pris tout le monde de court ce 19 janvier en révélant l'existence d'une faille de sécurité majeure. Mais attention, ce n'est pas une attaque directe qui a fait craquer les serveurs de l'Urssaf. En réalité, les pirates sont passés par une porte dérobée, ou plutôt par un partenaire institutionnel qui avait déjà été victime d'une cyberattaque. En récupérant les identifiants de ce dernier, les malfaiteurs ont pu se connecter tranquillement à l'interface technique de l'Urssaf, celle qu'on appelle l'API DPAE. C'est un peu comme si un cambrioleur n'avait pas eu besoin de forcer votre serrure parce qu'il avait volé le badge de l'agent d'entretien. Une fois à l'intérieur de ce système dédié aux échanges entre administrations, ils ont pu piocher dans une base de données contenant les informations de millions de salariés sans déclencher d'alerte immédiate.

Vos informations pourraient potentiellement être exposées

Le périmètre de cette fuite est assez colossal puisqu'il englobe potentiellement toutes les personnes ayant signé un contrat de travail depuis le début de l'année 2023. Selon les premières estimations, environ 12 millions de profils seraient concernés par cette consultation frauduleuse. Concrètement, si vous avez changé de job ou commencé une nouvelle mission au cours des trois dernières années, vos informations figurent sans doute dans le lot. Les données qui se sont volatilisées sont précises : votre nom, votre prénom, votre date de naissance, ainsi que le numéro Siret de votre employeur actuel ou récent avec la date exacte de votre prise de poste. C'est assez d'éléments pour établir un profil professionnel assez fidèle de chaque victime, même si l'organisme se veut rassurant sur un point crucial. Et avec toutes les autres fuites de ses derniers mois, on peut facilement faire des recoupements.

Ce que les pirates n'ont pas pu prendre

La bonne nouvelle dans ce sombre tableau, c'est que le butin reste incomplet pour les cybercriminels les plus gourmands. L'URSSAF a été catégorique sur le fait que les coordonnées bancaires, comme l'IBAN, n'ont pas été touchées par cette intrusion. De la même manière, le numéro de Sécurité sociale, les adresses postales ou encore les numéros de téléphone ne font pas partie des données exposées. C'est un soulagement relatif car cela signifie qu'aucun prélèvement sauvage ou usurpation d'identité lourde ne peut être réalisé directement avec ces seules informations. Les systèmes internes de l'institution n'ont d'ailleurs pas été compromis plus en profondeur, ce qui permet aux entreprises de continuer à déclarer leurs nouveaux salariés comme si de rien n'était, sous réserve que la sécurité des accès partenaires soit désormais verrouillée.

Le danger caché du phishing de précision

Le vrai problème qui se pose maintenant, c'est l'usage que vont faire les escrocs de ces listes de noms associés à des entreprises. Avec votre nom et celui de votre patron, ils peuvent concocter des messages de phishing d'une crédibilité redoutable. On n'est plus sur le mail bourré de fautes qui vous annonce un héritage d'un oncle lointain. Ici, on parle d'un SMS ou d'un courriel qui vous interpelle par votre nom en citant précisément votre boîte actuelle pour vous demander d'actualiser un dossier ou de cliquer sur un lien de régularisation. C'est ce qu'on appelle du « spear phishing », une pêche au harpon bien plus efficace que les envois de masse habituels. L'idée est de vous mettre en confiance avec des détails que seul un organisme officiel est censé connaître pour mieux vous soutirer, cette fois, votre carte bleue ou vos codes d'accès.

La riposte officielle et la suite des événements

Dès que le pot aux roses a été découvert, l'URSSAF a coupé les accès du compte partenaire fautif pour stopper l'hémorragie. L'affaire est désormais entre les mains de la justice puisque l'entité a déposé plainte auprès du procureur de la République. Elle a aussi prévenu la CNIL et l'ANSSI, les gendarmes du numérique en France, comme l'exige la loi en cas de violation de données personnelles. Pour ceux qui s'inquiètent ou qui pensent être victimes d'une tentative de fraude liée à cet incident, un numéro de téléphone gratuit a été mis en place : 0 809 541 962 (service gratuit + prix d’appel). Les autorités recommandent de ne jamais suivre un lien reçu par message imprévu, même si celui-ci semble provenir d'une source légitime. La règle d'or reste la même : aucun organisme ne vous demandera votre mot de passe ou vos numéros de carte bancaire par une simple sollicitation numérique.

Le puzzle de votre identité se reconstitue

Si l'on prend cette affaire URSSAF isolément, on pourrait presque se dire qu'on l'a échappé de justesse. Mais, le vrai problème, c'est que cette fuite ne tombe pas dans un vide numérique. Depuis quelques mois, la France est devenue le terrain de jeu favori des hackers avec des brèches en série : France Travail et ses 43 millions de dossiers, l'Assurance Maladie, les mutuelles Viamedis ou Almerys, et même des géants comme Free ou plus récemment Bouygues Telecom. Pour les pirates, chaque fuite est une pièce de puzzle. En recoupant les fichiers, ils peuvent désormais associer votre nom et votre employeur (venant de l'URSSAF) à votre numéro de Sécurité sociale (venant de France Travail), votre IBAN (venant d'une mutuelle ou d'un opérateur) et votre adresse mail. C'est ce qu'on appelle l'agrégation de données, et c'est ce qui transforme une petite fuite en un kit d'usurpation d'identité clé en main.

Vers des arnaques au « faux conseiller » chirurgicales

Avec un dossier aussi complet sur vous, les escrocs n'ont plus besoin de tâtonner. Ils peuvent vous appeler en se faisant passer pour votre banquier ou un agent de l'administration avec un aplomb terrifiant. « Bonjour Monsieur Untel, je vous appelle concernant votre contrat débuté le 12 février chez [Nom de votre entreprise]… » Qui ne baisserait pas la garde face à une telle précision ? Ce type d'appel, souvent appelé « fraude au faux conseiller », est le prolongement direct de ces vols de données massifs. Ils utilisent ces détails pour vous stresser et vous faire valider une opération bancaire ou vous soutirer un code secret. On n'est plus dans l'artisanat du phishing, mais dans une véritable industrie du crime qui mise sur la saturation : à force de voir nos infos fuiter de partout, on finit par ne plus savoir qui détient quoi, et c'est là qu'on devient vulnérable.

Le « dark web » fait le plein de profils français

Il faut bien comprendre que ces données ne dorment pas dans un coin. Elles sont vendues, échangées et compilées sur des forums spécialisés du dark web. La France a d'ailleurs été classée comme l'un des pays les plus touchés au monde par ces fuites en 2025. Des chercheurs en cybersécurité ont récemment découvert des bases de données de plus de 45 millions de lignes regroupant des informations de sources multiples. Ce qui inquiète le plus, c'est que ces fichiers permettent de créer des « identités synthétiques » : les fraudeurs mélangent de vraies infos (les vôtres) avec des fausses pour ouvrir des comptes bancaires ou obtenir des crédits à la consommation. Face à cette avalanche, la seule solution est de partir du principe que vos informations de base sont déjà dans la nature et de verrouiller tout ce qui peut l'être, comme l'authentification à deux facteurs sur vos comptes critiques.

Comment réagir concrètement aujourd'hui ?

Si vous faites partie des millions de salariés embauchés depuis 2023, ne restez pas les bras croisés en attendant le prochain mail suspect. La première chose à faire est de surveiller vos comptes bancaires de très près, même si l'URSSAF assure que les IBAN n'ont pas été pris chez eux. Pensez aussi à changer vos mots de passe, surtout si vous utilisez le même pour votre boîte mail et vos espaces administratifs. Un bon gestionnaire de mots de passe peut vous sauver la mise ici. Et surtout, rappelez-vous une règle d'or : si on vous appelle et qu'on connaît déjà tout de vous, c'est paradoxalement le moment de vous méfier le plus. Raccrochez, et rappelez vous-même l'organisme en question via son numéro officiel. C'est un peu radical, mais c'est le seul moyen de ne pas finir comme une simple statistique de plus dans le prochain bilan de la cybercriminalité.

Garder la tête froide face à la menace

En fin de compte, cet incident nous rappelle que la sécurité de nos données dépend souvent du maillon le plus faible de la chaîne. Même si l'URSSAF dispose de gros moyens pour protéger ses serveurs, l'erreur humaine ou technique chez un prestataire peut tout faire basculer. Pour les millions de salariés concernés, il n'y a pas de panique à avoir, mais une vigilance de tous les instants est nécessaire. Il faut apprendre à douter systématiquement des demandes urgentes ou trop familières qui arrivent sur nos écrans. Si vous recevez un message qui vous semble louche, préférez toujours vous connecter manuellement sur votre espace personnel via le site officiel plutôt que de cliquer sur le lien fourni. La prudence est le meilleur des pare-feu, surtout quand nos informations professionnelles commencent à circuler dans les recoins les plus sombres du web.

Ce qu’il faut retenir :

• Piratage de l’Urssaf : Qui est concerné ? Potentiellement 12 millions de salariés recrutés depuis le début de l'année 2023. Si vous avez signé un nouveau contrat de travail récemment, vous êtes sans doute dans le lot.
• Quelles données circulent ? Vos noms, prénoms et dates de naissance, mais aussi le Siret de votre employeur et votre date d'embauche. Vos coordonnées bancaires et votre numéro de Sécurité sociale restent, eux, à l'abri pour le moment.
• Comment est-ce arrivé ? Ce n'est pas l'Urssaf qui a été hackée directement, mais l'un de ses partenaires institutionnels. Les pirates ont utilisé ses identifiants volés pour s'introduire dans le système de déclaration d'embauche.
• Quel est le vrai risque ? Le « super phishing ». En recoupant ces infos avec les fuites précédentes (France Travail, mutuelles), les escrocs peuvent vous envoyer des messages tellement précis (votre nom + votre boîte) qu'ils deviennent presque indécelables.
• Le bon réflexe à adopter : Redoublez de méfiance face aux appels ou messages urgents citant votre employeur. Ne cliquez jamais sur un lien suspect et contactez l'Urssaf au 0 809 541 962 en cas de doute.