Un bogue informatique sur le site de la CAF dévoile les dossiers de milliers d’allocataires

2023-09-06 / Par

Les données personnelles de 7000 personnes exposées

Le lundi 11 octobre, la Caf  a confirmé dans un communiqué de presse qu’environ 7.000 dossiers ont été touchés par cette violation. 

La CAF assure que l’origine de l’incident a été identifiée et que le bogue est en cours de résolution. Elle invoque une erreur informatique lors de la mise en place d’une nouvelle méthode d’authentification. 

L’origine de la violation de données

Depuis  ce week-end, les allocataires sont invités à se connecter à leur compte en utilisant leur numéro de sécurité sociale à la place de leur numéro de bénéficiaire et à définir un nouveau mot de passe plus complexe mêlant des chiffres, des lettres et des caractères spéciaux.

Des allocataires ont pu ainsi accéder à des comptes qui ne leur appartenaient pas et consulter l’identité, des numéros de téléphone, adresses, montants des allocations, etc. d’autres utilisateurs. 

À chaque connexion, ça me connectait à un compte différent, au début je suis tombé sur le compte d’un certain Mohammed, ensuite d’une Véronique, d’une Audrey… J’ai tenté de me connecter 19 fois en vain, j’avais accès à leurs données personnelles : adresse, RIB, montant de leur allocation, situation familiale...“,  confie sur twitter Jérôme Misztal, un allocataire  stupéfait et dans l’incompréhension. 

Le  Directeur Général de la CNAF, Vincent Mazauric, a précisé que cette « violation de l’intégrité des données » n’était « pas due à une attaque informatique » et que cela ne signalait pas une « vulnérabilité du système informatique ». 

L’étendue de la violation 

La CAF a assuré que seules les données de contact étaient visibles. Une allégation contredite par plusieurs internautes qui affirment que toutes les données des dossiers d’allocation étaient en réalité accessibles et modifiables, notamment des données relatives aux paiements, comme le RIB et les versements. 

Ce bogue a par ailleurs soulevé des craintes de sécurité : les internautes se demandent légitimement combien de personnes ont pu accéder à leurs informations personnelles par ce biais. La CAF, pour l’instant, n’est pas en mesure de chiffrer ces accès. 

De son côté, la Cnil a été notifiée de cette violation de données personnelles. Il est aussi prévu que les personnes concernées soient informées individuellement, conformément au RGPD.

    L’incident en cours de réparation 

    La réparation de l’incident est en cours « afin de permettre la réouverture du service dans les meilleurs délais et avec toutes les garanties de protection des données » indique la CNAF. 

    Par ailleurs, la CAF a décidé de fermer temporairement “l’Espace Mon Compte” ainsi que son application mobile ce lundi aux alentours de 8 heures, pour limiter les accès malencontreux aux données personnelles d’autres bénéficiaires. 

    Afin d’éviter tout acte de malveillance, l’ensemble des démarches effectuées en ligne depuis le 10 octobre à 21 heures ont aussi été annulées.