Pallade Veneta - Accès frauduleux aux données de l'Urssaf: 12 millions de salariés potentiellement concernés

"L'Urssaf a constaté un accès non-autorisé à l'API (l’interface, NDLR) contenant certaines données de la déclaration préalable à l'embauche, réservée à ses partenaires institutionnels, opéré via un compte partenaire habilité dont les identifiants avaient été compromis", explique l'institution dans un communiqué.

Les données qui ont été "consultées et potentiellement extraites" sont les noms, prénoms, dates de naissance, Siret de l'employeur et dates d’embauche de 12 millions de salariés embauchés depuis moins de trois ans, précise l'Urssaf.

En revanche, aucun numéro de Sécurité sociale, adresse email ou postale, numéro de téléphone ou coordonnée bancaire ne sont concernés, souligne le communiqué.

Escroquerie sur internet, le hameçonnage ou phishing est une technique consistant à se faire passer pour un organisme que le destinataire connait en lui envoyant un courriel lui demandant généralement de mettre à jour ses informations, notamment ses coordonnées bancaires, selon la définition de la Commission nationale de l’informatique et des libertés (Cnil).

"Les premières investigations révèlent que l'accès frauduleux (...) a été opéré via un compte partenaire habilité à consulter ces informations", car "les identifications de connexion liés à ce compte avaient été volées lors d'un acte de cyber-malveillance antérieur visant ce partenaire".

L'Urssaf indique avoir suspendu les accès du compte compromis et déposé une plainte auprès du procureur de la République.

Mi-novembre, l'Urssaf avait indiqué que le service Pajemploi, servant à déclarer et rémunérer les assistants maternels et gardes d'enfants à domicile, avait été victime d'un vol de données qui avait alors pu concerner "jusqu'à 1,2 million de salariés de particuliers employeurs".

M.Jacobucci--PV