Le 19 janvier 2026, l’Urssaf a révélé l’existence d’une faille de sécurité majeure dans son API dédiée à la « déclaration préalable à l’embauche ». Cette brèche pourrait concerner les données personnelles de millions de salariés en France. Découvrez comment cette situation pourrait être exploitée par des cybercriminels et les mesures à prendre pour se protéger.
L’essentiel à retenir
- Un accès frauduleux à l’API de l’Urssaf pourrait affecter jusqu’à 12 millions de salariés récemment embauchés.
- Aucune information sensible telle que le numéro de Sécurité sociale ou les coordonnées bancaires n’a été compromise.
- Les risques d’hameçonnage sont accrus, incitant à une vigilance renforcée contre les tentatives de phishing.
Une faille de sécurité inédite à l’Urssaf
L’Urssaf a découvert que des données avaient été extraites via un compte partenaire dont les identifiants ont été compromis. Cette faille concerne potentiellement 12 millions de salariés embauchés depuis moins de trois ans. Bien que les informations sensibles telles que les numéros de Sécurité sociale ou les coordonnées bancaires ne soient pas concernées, les données extraites comprennent des éléments tels que les noms, prénoms, dates de naissance, le Siret de l’employeur et les dates d’embauche.
Des risques accrus de phishing
Les informations volées pourraient être utilisées par des cybercriminels pour orchestrer des campagnes de phishing ciblées. En se faisant passer pour des employeurs, des organismes sociaux ou des banques, ils pourraient tromper les victimes en simulant des échanges légitimes. Cette situation nécessite une attention particulière pour éviter de tomber dans le piège des attaques d’ingénierie sociale.
Mesures de précaution pour les employeurs et salariés
Face à cette menace, les employeurs doivent adopter des mesures de précaution supplémentaires. Il est recommandé de vérifier systématiquement par téléphone ou visioconférence toute demande impliquant des informations sensibles. Les salariés, quant à eux, peuvent vérifier si leurs adresses mail sont affectées par des fuites récentes via le site haveibeenpwned.com. En cas de compromission, il est conseillé d’adopter de nouveaux canaux de communication sécurisés.
L’importance de la vigilance face aux cybermenaces
Les attaques de cybercriminels deviennent de plus en plus sophistiquées, rendant la vigilance indispensable. L’Urssaf incite à ne jamais divulguer de mots de passe ou de coordonnées bancaires par téléphone ou par mail, soulignant l’importance de la sécurité des données personnelles dans le monde numérique d’aujourd’hui.
Contexte de l’Urssaf
L’Urssaf, créée en 1960, est une institution française chargée de collecter les cotisations et contributions sociales qui financent le système de protection sociale. Elle joue un rôle central dans l’administration des déclarations liées à l’emploi et est un partenaire essentiel des entreprises et des salariés. Avec l’augmentation des cyberattaques ces dernières années, l’Urssaf doit constamment renforcer ses systèmes de sécurité pour protéger les informations sensibles des utilisateurs.
Source : https://www.evinux.org/urssaf-une-faille-de-securite-expose-des-donnees-sensibles/