« Aucun piratage » : la CAF dément l’attaque alors d’où viennent les données des 3,5 millions de foyers piratés ?

C’est la panique en ligne. On parle d’un fichier de 22 millions de lignes qui contient les informations personnelles d’allocataires de la CAF, soit 3,5 millions de foyers. Sur un forum criminel, les pirates présentent cela comme un « cadeau de Noël » et revendiquent l’intrusion dans le système informatique de la CAF.

Sauf que la CAF affirme le contraire : elle n’a jamais été piratée et les données ne viennent pas de ses serveurs. Dans un communiqué publié ce 18 décembre, la CAF a répondu au message des pirates : « Contrairement aux affirmations relayées par ce groupe, aucune intrusion ni faille n’a été détectée dans nos systèmes. Notre système d’information n’a jamais été piraté et reste pleinement sécurisé »

La CAF affirme qu’elle n’a jamais été piratée

🔐 Cyberattaque : la Cnaf confirme la sécurité de son système d’information

Après avoir eu connaissance de la revendication d’une violation de données des Caf par un groupe de pirates informatiques, la Caisse nationale des Allocations familiales (Cnaf) a immédiatement mené une… pic.twitter.com/znYj66Fl4c

— Allocations Familiales (@cnaf_actus) December 18, 2025

L’organisme précise que les données diffusées par les pirates « semblent provenir du système d’information d’autres services publics » avec lesquels la CAF échange constamment des informations pour attribuer des prestations.

On parle d’échanges légaux et encadrés avec des partenaires comme les impôts ou encore France Travail qui a récemment été piraté. La CAF indique qu’aucune atteinte à ce système informatique n’a été repérée. L’analyse du fichier confirme cette version.

Christophe Boutry, expert en cybersécurité spécialisé dans l’étude des fuites de données, a examiné la structure du fichier qui révèle plusieurs indices dans ce sens. Selon lui, les données ne proviennent pas de la CAF mais du dispositif Pass’Sport, une aide de 50 euros à destination des jeunes pour financer l’inscription sportive.

Pourquoi ? Parce que le fichier montre des données qui viennent de la CAF, de la Mutualité sociale agricole et du Centre national des œuvres universitaires et scolaires. Le Pass’Sport est le seul dispositif qui croise ces trois bases de données en même temps. Un autre indice repéré par l’expert, chaque ligne du fichier a un identifiant appelé id_psp, ce qui correspond au format utilisé par le Pass’Sport.

Un fichier qui exposerait près de 3,5 millions de foyers

Le fichier brut avec 22 445 764 lignes a provoqué l’inquiétude en ligne alors que le ministère de l’Intérieur a été récemment piraté. Mais en vrai, ce nombre ne correspond pas au nombre de personnes touchées. L’analyse montre un historique de 2022 à 2025 et une même personne peut apparaître jusqu’à 4 fois si elle a utilisé le Pass’Sport chaque année.

Les estimations varient selon les experts. Christophe Boutry parle d’environ 3,5 millions de foyers uniques. Mais Anis Ayari, chercheur en IA, a traité la base de données de manière automatisée et estime le nombre à 8,6 millions. Des estimations énormes et très éloignées des 22 millions dont parlent beaucoup d’internautes et médias.

Dans le fichier, on trouve des noms, prénoms, adresse postale, adresse électronique, numéro de téléphone et date de naissance. Les numéros INE des enfants ou étudiants rattachés au dossier figurent aussi dans certaines lignes. La CAF confirme qu’aucune donnée bancaire et aucun mot de passe ne se trouve dans ce fichier.

Les informations datent de septembre 2024 à novembre 2025. Ce qui met sur la piste d’une attaque récente, qu’importe sa source. Que l’erreur soit celle de la CAF, d’un partenaire ou de Pass’Sport importe peu pour les personnes concernées.

Un fichier avec les informations personnelles de plusieurs millions d’allocataires circule désormais en ligne et peut être exploité par n’importe quel pirate. Les risques sont concrets entre usurpation d’identité, hameçonnage ciblé en utilisant les informations personnelles pour renforcer la crédibilité, tentative de détournement d’allocations, etc. Les escrocs ont déjà des données précises, ce qui rend leur tentative d’arnaque bien plus convaincante qu’un simple spam lambda.