Vol de donnees chez Pajemploi : 1,2 million d’usagers touches

Pajemploi, le service de l’URSSAF destine a declarer et a remunerer les assistants maternels et les gardes d’enfants a domicile, a ete la cible d’un vol massif de donnees. L’incident, detecte vendredi dernier, concerne jusqu’a 1,2 million d’usagers. La direction de l’URSSAF indique que l’attaque est desormais terminee.

Quelles donnees ont ete exposees ?

Parmi les fichiers exfiltrés figuraient :

• noms et prenoms
• dates et lieux de naissance
• adresses postales
• numeros de securite sociale
• noms d’etablissements bancaires

Ces donnees, une fois agrégées, peuvent servir a profiler une personne et a monter des escroqueries tres ciblees. « Si on agregue toutes ces informations, on va avoir un profil sur une personne qui va permettre notamment de realiser des arnaques hyper ciblees et tres convaincantes, comme l’arnaque au faux conseiller bancaire », avertit Benoit Grunemwald, specialiste en cybersécurite.

Reactions et suites prevues

La direction des systemes d’information de l’URSSAF affirme avoir immediatement verrouille le systeme pour empecher toute nouvelle exfiltration et avoir verifie la nature des donnees compromises. « Premiere chose, on a tout de suite verrouille le systeme de maniere a ce que cela ne se reproduise plus et que l’on soit certain de sa securite. Deuxieme point, on a verifie quelles etaient les donnees et, en effet, ce ne sont que des donnees personnelles. Alors on n’est pas contents, parce que divulguer des donnees personnelles pour un organisme de securite sociale, ce n’est jamais plaisant », a declare Jean-Baptiste Courouble, directeur des systemes d’informations de l’URSSAF.

L’attaque n’a pas ete revendiquee a ce stade. La justice va etre saisie pour enqueter sur cet incident. Ce type d’atteinte aux donnees s’est multiplié ces derniers mois : fin octobre, des hackers russes avaient deja exfiltre des informations sensibles concernant 30 000 demandeurs d’emploi inscrits sur la plateforme France Travail.