CAF piratée : une fuite massive de données ultra sensibles menace des millions d’allocataires

Un nouveau séisme vient d’ébranler la protection des informations personnelles en France : un gigantesque piratage frappe la CAF, exposant les données les plus sensibles de millions d’allocataires. À la clé : noms, adresses, téléphones, identifiants et, dans certains cas, dates de naissance ou numéros d’allocataire. L’ampleur de la fuite fait redouter une vague de fraudes et d’ usurpations d’identité qui pourrait durer des mois, voire des années.

Une brèche numérique d’ampleur inédite

Dans la nuit du 17 au 18 décembre 2025, près de 22 445 764 lignes issues des bases de la Caisse d’Allocations Familiales ont fait irruption sur un forum fréquenté par les cybercriminels. Pesant plus de 15 Go, ce fichier s’apparente à un export massif contenant :

• Identité complète (nom, prénom, sexe)
• Adresse postale détaillée
• Numéros de téléphone fixe et mobile
• Adresse e-mail personnelle ou professionnelle
• Numéro d’allocataire et, parfois, date de naissance

Pour prendre la mesure du choc : la France comptait environ 13,5 millions de foyers bénéficiaires fin 2025. Même si des doublons existent, les premiers recoupements estiment qu’au moins 8,6 millions de personnes distinctes seraient concernées. Les pirates, qualifiant leur méfait de « cadeau de Noël », démontrent ainsi la vulnérabilité d’un pilier de la solidarité nationale.

Pourquoi cet incident inquiète autant ?

Contrairement à un simple vol d’adresses e-mail, la fuite touche un éventail de données personnelles suffisant pour construire des scénarios d’escroquerie très convaincants. Les fraudeurs peuvent, par exemple :

• Lancer des campagnes de phishing en se faisant passer pour la CAF afin de récupérer des RIB ou des codes de sécurité.
• Modifier frauduleusement les coordonnées bancaires d’un allocataire pour détourner ses prestations mensuelles.
• Constituer des dossiers de crédit à la consommation en ligne grâce aux informations d’état civil complètes.
• Revendre les profils sur des places de marché clandestines où un jeu de données « premium » peut atteindre plusieurs dizaines d’euros pièce.

Il s’agit donc d’un véritable « pack clé en main » pour tout cyberdélinquant cherchant à monétiser rapidement des identités françaises.

Une série d’attaques coordonnées contre les services publics

Ce piratage ne survient pas en vase clos. En l’espace de quelques semaines, plusieurs administrations ont été visées :

• Exposition des fichiers de police de 16,4 millions de personnes liés au ministère de l’Intérieur.
• Intrusions revendiquées à la Direction générale des finances publiques (DGFIP) et à la Caisse nationale d’assurance vieillesse (CNAV).
• Accès illégal aux données de jeunes suivis par les Missions Locales et France Travail.

Les enquêteurs évoquent la piste d’un collectif hostile qui souhaiterait venger des arrestations menées à l’été 2025. Les attaques, très médiatisées, illustrent l’effet domino : lorsqu’une faille apparaît dans une administration, d’autres institutions interconnectées deviennent plus vulnérables, notamment via des services partagés comme le Pass’Sport.

Les risques concrets pour les allocataires

Pour évaluer la menace, il est utile de se projeter sur des cas vécus lors de fuites similaires :

• Usurpation d’identité : un parent découvre un crédit auto contracté en son nom, après qu’un pirate a utilisé ses données CAF pour peaufiner le dossier.
• Fraude aux prestations : modification d’un RIB directement dans le compte allocataire, entraînant la perte de plusieurs mois d’allocations pendant la procédure de réclamation.
• Arnaques par SMS ou e-mail : faux messages demandant une « mise à jour urgente » du dossier, contenant un lien vers un site imitant parfaitement le portail officiel.

Une fois publiées, ces informations circulent sans fin ; elles peuvent réapparaître des années plus tard dans de nouvelles bases revendues au plus offrant.

Les bons réflexes pour protéger vos informations

En l’absence de communication détaillée de la CAF – alors que le RGPD impose en théorie un délai maximal de 72 heures pour prévenir la CNIL et les victimes – la prudence reste la meilleure défense :

• Changez immédiatement votre mot de passe CAF, en privilégiant une phrase de passe longue et unique.
• Activez la double authentification (code SMS ou application dédiée) si ce n’est déjà fait.
• Vérifiez régulièrement le RIB enregistré dans votre espace personnel ainsi que l’historique des connexions.
• Surveillez vos relevés bancaires : la moindre opération suspecte doit être signalée à votre banque et, si besoin, à la police.
• Ignorez les courriels ou SMS qui vous demandent des informations confidentielles, même s’ils semblent provenir d’une administration.
• En cas de doute, privilégiez le canal officiel (application ou numéro habituel) pour contacter la CAF.

Quelle suite pour l’enquête et la régulation ?

Un suspect de 22 ans a déjà été interpellé dans une affaire connexe concernant le ministère de l’Intérieur, mais son implication directe dans l’affaire de la CAF n’est pas confirmée. Les autorités doivent désormais :

• Identifier le vecteur d’intrusion (faille logicielle, hameçonnage d’un agent, compte VPN compromis…)
• Évaluer l’étendue réelle de la copie des bases et la chronologie précise de l’exfiltration
• Notifier individuellement chaque victime, comme l’exige la réglementation
• Renforcer la cybersécurité des infrastructures sociales, souvent sous-dimensionnées face aux attaques modernes

Pour les citoyens, l’affaire illustre la nécessité d’une hygiène numérique rigoureuse : même les institutions les plus familières ne sont plus à l’abri d’un vol massif de données. Rester vigilant, former ses proches aux bonnes pratiques et suivre l’évolution du dossier sont aujourd’hui des gestes essentiels pour minimiser les impacts d’une attaque d’une telle ampleur.