L’année 2026 continue sur la même lancée que 2025, avec des fuites de données à tour de bras. Cette fois, 12 millions de victimes potentielles sont concernées : des pirates ont récupéré les identifiants d’un partenaire officiel de l’URSSAF, puis se sont connectés à l’API DPAE, l’interface utilisée pour les déclarations préalables à l’embauche. L’information, relayée officiellement par l’organisme, fait état d’une brèche extérieure, liée à un prestataire tiers. En utilisant un compte parfaitement légitime, les attaquants se sont fondus dans le trafic et n’ont déclenché aucune alerte.
Piratage ou fuite de données ?
L’URSSAF précise que ses serveurs n’ont pas été piratés au sens strict, mais qu’un accès autorisé a été détourné, avant d’être coupé. Cette nuance technique change peu la portée du problème : les données ont bien été consultées, potentiellement à très grande échelle. Pour autant, difficile d’établir précisément la portée des dégâts. Sur le papier, le butin semble limité : pas de RIB, pas de numéros de Sécurité sociale, pas d’e-mails, pas de numéros de téléphone. En effet, l’API DPAE donne accès à un périmètre restreint de données : nom, prénom, date de naissance, SIRET de l’employeur et date d’embauche… le tout sur une période d’environ trois ans.
L’URSSAF n’est donc pas en mesure de dire précisément quels dossiers ont été consultés : par précaution, elle considère tout le monde exposé sur cette période, soit 12 millions de salariés embauchés depuis janvier 2023, qu’ils soient en CDI, ou en CDD. Le pactole est de taille. D’autant plus que si les informations ne sont pas aussi sensibles que des données bancaires par exemple, il est tout à fait possible de les croiser avec d’autres bases déjà volées, pour les transformer en véritable mine d’or, idéales pour des arnaques ultra-ciblées.
Attention aux prochains mails de votre employeur
Avec votre identité, le nom de votre employeur et votre date d’embauche exacts, un mail frauduleux peut soudain paraître beaucoup plus crédible qu’un spam basique. Il faut s’attendre à voir les tentatives de phishing proliférer dans les semaines et les mois à venir. Dans une communication officielle, l’URSSAF rappelle qu’aucune administration française ne demandera jamais mots de passe, codes bancaires ou coordonnées sensibles par e-mail ou téléphone. Toute sollicitation de ce type doit être considérée comme suspecte.
En cas de doute, la consigne reste simple : raccrocher, puis rappeler soi-même l’organisme via ses coordonnées officielles (pour l’URSSAF, il s’agit du 0 809 541 962).
Une tendance de fond qui inquiète
Le cas de l’URSSAF n’est pas isolé, et témoigne encore une fois du manque de durcissement systématique sur les plateforme d’authentification officielles, alors même qu’il s’agit de services manipulant des données sensibles à grande échelle. Comme très souvent dans ce genre de cas, c’est un tiers qui est pointé du doigt. Une situation d’autant plus problématique qu’elle est presque impossible à contrôler pour les services publics, même avec toute la bonne volonté technique du monde.
Comment savoir si vous êtes concernés ?
Pour les salariés embauchés après début 2023, il est temps de redoubler de vigilance. Les services de l’URSSAF continuent de fonctionner normalement et les démarches des employeurs ne sont pas impactées, mais le risque se joue désormais dans vos boîtes mail et SMS. Méfiez-vous de tout message mentionnant précisément votre embauche, votre entreprise et des dates, surtout s’il vous demande une action urgente ou des données confidentielles. Vérifiez systématiquement l’expéditeur, l’adresse réelle des liens, et accédez aux sites sites officiels via vos favoris ou directement via un moteur de recherche.
En cas de doute, rapprochez vous de votre service RH et, si nécessaire, déposez plainte en cas de tentative manifeste d’escroquerie.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
