La CAF oblige à changer de mot de passe : pour quelles raisons ?

La Caisse nationale d’allocations familiales (Cnaf, communément appelée CAF) incite ses allocataires « à la mise à jour du mot de passe » de leur compte après avoir détecté que « plusieurs milliers de comptes ont été visités de manière illégitime ». Une dizaine de jours plus tôt, un groupe de pirates revendiquait avoir piraté plus de 600 000 comptes. Face à cette compromission, la Cnaf annonce renforcer ses mesures de sécurité.

« Une violation de données est avérée », annonce la Cnaf

Retour en arrière. Le 12 février, quelques jours après des piratages chez certains prestataires de tiers payant, un groupe affirmait avoir piraté quelque 600 000 comptes d’allocataires de la CAF, publiant pour preuves, sur Telegram et X, des captures d’écran. Celle-ci, de son côté, affirmait (dans un communiqué qui a disparu de son site web) face à ces revendications « qu’aucune faille de sécurité [n’avait] été détectée sur le site caf.fr » et que « les quatre comptes allocataires publiés par les pirates ont manifestement été consultés suite à un piratage du mot de passe ».  Deux semaines plus tard, le constat a changé.

Plusieurs milliers de comptes allocataires ont été visités de manière illégitime. Des personnes malveillantes se sont connectées à des comptes allocataires avec leurs mots de passe réels, volés et « mis à disposition » sur le « dark web », explique la Cnaf.

Après « investigations », la CAF constate donc qu’une « violation de données » est avérée et affecte « des milliers de comptes » sans en préciser le nombre exact. Mais elle reste sur sa première version : « Il n’y a eu aucune faille de sécurité sur le site caf.fr, qui n’a aucunement été piraté. » Pour les Allocations Familiales, les mots de passe ont été volés, par exemple via une campagne de phishing, et la compromission des comptes ne provient pas d’une intrusion sur sa plateforme.

Tous les allocataires devront changer de mot de passe

La Cnaf annonce avoir déposé une plainte et un signalement auprès de la CNIL, et affirme que « chaque allocataire dont il est attesté que le compte a été visité est contacté et son mot de passe réinitialisé afin de bloquer tout accès à son compte par une personne non autorisée ». Elle lance parallèlement une « campagne d’incitation au changement de mot de passe », qui aboutira, le 8 mars, au changement obligatoire de mot de passe pour tous les allocataires ne l’ayant pas fait d’ici là.

À compter du 8 mars, changer de mot de passe deviendra obligatoire pour tous les allocataires qui ne l’ont pas encore fait, dès lors qu’ils se connecteront à leur compte.

Parallèlement, la Cnaf dit prendre « des mesures fortes pour renforcer la sécurité des données des allocataires », notamment en introduisant un plus haut degré de sécurité des « mots de passe pour les nouveaux comptes ». Elle affirme enfin, auprès de ses allocataires dont les comptes ont été compromis, que « les personnes malveillantes ne peuvent pas accéder aux coordonnées bancaires, mais pourraient tenter de les modifier (…) En cas de doute, la démarche est validée par un conseiller allocataire avant que le changement ne soit effectif ».