Le 12 février, le groupe LulzSec avait publié des captures d'écran de quatre comptes de la CAF, tout en revendiquant le piratage d'un total de 600 000 comptes. Cette revendication est rapidement apparue farfelue et la Caisse d'allocations familiales a assuré n'avoir détecté aucune faille de sécurité sur le site caf.fr.
Pour autant, la violation des données de quatre allocataires était bel et bien authentique, probablement suite à une compromission tierce de leur mot de passe (infostealer, par exemple). Désormais, la CAF précise la connexion de personnes malveillantes via des " mots de passe réels, volés et mis à disposition sur le Dark Web. "
Le nombre de comptes ainsi compromis est en outre revu à la hausse. Ce sont " plusieurs milliers de comptes d'allocataires qui ont été visités de manière illégitime ", sans que le piratage du site caf.fr ne soit donc lui-même en jeu.
Pas de panique
" Chaque allocataire dont il est attesté que le compte a été visité est contacté et son mot de passe réinitialisé afin de bloquer tout accès à son compte par une personne non autorisée ", écrit la CAF dans un communiqué.
" Les personnes malveillantes ne peuvent pas accéder aux coordonnées bancaires (RIB), mais pourraient tenter de le modifier. Toutefois, le changement de coordonnées bancaires en ligne fait l'objet de contrôles de sécurité pour vérifier que le changement est légitime. "
Dans cette affaire, une plainte a été déposée et un signalement a été effectué auprès de la Commission nationale de l'informatique et des libertés (Cnil).
Un changement de mot de passe s'impose
L'incident de sécurité pousse néanmoins la Caisse nationale des allocations familiales à prendre d'autres mesures.
Pour les nouveaux comptes, le niveau de sécurité des mots de passe a été renforcé, tandis qu'une campagne d'incitation au changement de mot de passe a été lancée auprès des allocataires.
À partir du 8 mars prochain et dès une connexion à un compte, le changement de mot de passe sera obligatoire pour tous les allocataires qui ne l'ont pas encore fait. Un rappel est notamment de choisir un mot de passe robuste différent pour chaque site.
