Actu

Alerte maximale : cyberattaque massive à la CAF expose des millions de foyers français

Moudir

Fin décembre 2025, une fuite de données d’une ampleur inédite frappe le cœur de l’État social. Alors que plus de 13,5 millions de foyers perçoivent des allocations en France, une cyberattaque ciblant la Caisse d’allocations familiales (CAF) met en péril les informations les plus sensibles de millions d’allocataires — y compris des familles, des étudiants et des jeunes suivis par les Missions Locales. Ce n’est pas une simple intrusion : c’est une brèche stratégique dans les systèmes de protection des données sociales.

Une fuite sans précédent dans l’histoire de la CAF

Le 18 décembre 2025, un fichier contenant 22,4 millions de lignes de données personnelles issues des systèmes de la CAF apparaît sur un forum criminel. Daté de novembre 2025 mais intégrant des informations remontant à septembre 2024, ce document expose noms, adresses postales, numéros de téléphone et adresses e-mail. Les chercheurs en cybersécurité estiment qu’il concerne entre 3,5 et 8,6 millions de personnes uniques — un chiffre colossal pour un organisme public.

Contrairement aux fuites antérieures en 2023 ou en 2024, limitées à quelques milliers de dossiers, cette attaque marque un saut qualitatif. Elle ne résulte pas d’une négligence technique, mais d’une offensive coordonnée, revendiquée comme un “cadeau de Noël” par un groupe de hackers français et britanniques.

Un ciblage systématique de l’État social français

Cette cyberattaque ne survient pas de manière isolée. Quelques jours plus tôt, les systèmes du ministère de l’Intérieur étaient compromis, exposant les données de 16,4 millions de personnes. Le même collectif revendique aussi des intrusions à la Direction générale des finances publiques (DGFIP) et à la Caisse nationale d’assurance vieillesse (CNAV).

L’origine de l’ampleur du fichier CAF semble liée au dispositif Pass’Sport, programme d’aide à la pratique sportive qui agrège des données transversales : CAF, Mutualité sociale agricole (MSA) et CNOUS. Ce mécanisme, bien intentionné, devient involontairement un point d’accumulation critique. Résultat : enfants, parents, étudiants — des millions de citoyens ordinaires se retrouvent exposés, bien au-delà du simple allocataire.

Risques concrets pour les familles : usurpation, hameçonnage, escroqueries

Face à ces données, les cybercriminels disposent désormais d’armes redoutables. La combinaison nom, adresse, numéro de téléphone et date de naissance permet des tentatives d’usurpation d’identité hyper-ciblées. Un escroc peut appeler en citant l’âge de vos enfants, votre numéro d’allocataire, ou en imitant parfaitement le ton administratif de la CAF.

Ces attaques, dites de hameçonnage avancé, exploitent la confiance des usagers. Le risque va bien au-delà de la fraude : il touche à la sécurité financière, à la stabilité des foyers, et à la confiance dans les institutions sociales.

Comment se protéger dès maintenant ?

La CAF a activé la double authentification le 10 décembre, mais cette mesure intervient après la compromission. En l’absence de notification officielle conforme au RGPD, les citoyens doivent agir seuls. Voici les gestes essentiels :

  • Changer immédiatement le mot de passe de votre compte CAF et ne jamais le réutiliser ailleurs.
  • Activer la double authentification dès qu’elle est disponible.
  • Vérifier régulièrement vos relevés bancaires et vos paiements d’aides sociales.
  • Ne jamais communiquer de code, RIB ou pièce d’identité par téléphone ou e-mail, même si l’interlocuteur semble parfaitement informé.
  • Se méfier de tout message “urgent” ou “important” prétendant venir de la CAF, surtout s’il contient des détails personnels exacts.

Un enjeu national de cybersécurité sociale

Cette fuite soulève une question cruciale : comment protéger les données des plus vulnérables ? La cyberattaque massive à la CAF n’est pas seulement un incident technique. C’est un signal d’alarme sur la fragilité des systèmes sociaux numérisés. Alors que la France entame 2026 avec des aides sociales réévaluées — RSA, AAH, allocations familiales — la confiance dans leur gestion numérique vacille.

Pour les familles, il s’agit désormais de rester vigilantes. Pour l’État, il est urgent de renforcer la cybersécurité des organismes sociaux. Car dans un monde où les données valent plus que l’or, la protection des citoyens commence par la sécurité de leurs informations les plus intimes.