📉 Introduction — Le cauchemar continue
Moins de trois mois après le piratage du service Pajemploi, qui avait compromis les données d’1,2 million de personnes fin novembre 2025, l’Urssaf se retrouve à nouveau sous les feux de la cyber-médiatisation. Cette fois, il ne s’agit pas seulement d’un service marginal : un accès frauduleux à l’API de la Déclaration Préalable à l’Embauche (DPAE) a potentiellement permis à des attaquants de consulter ou d’extraire les données de 12 millions de salariés français embauchés depuis trois ans.
Selon les premières investigations, l’accès illicite s’est produit via un compte partenaire habilité, dont les identifiants avaient été compromis lors d’une attaque antérieure. Une technique classique des cybercriminels : ils réutilisent des identifiants volés pour franchir des barrières d’accès normalement réservées aux institutions et aux partenaires de confiance.
🧠 Ce qui a été compromis — et ce qui ne l’a pas été
Les types de données potentiellement consultées ou extraites sont inquiétants, même s’ils ne contiennent pas les éléments les plus sensibles :
👉 Noms et prénoms
👉 Dates de naissance
👉 Numéro SIRET de l’employeur
👉 Dates d’embauche
❗ Bonne nouvelle : selon l’Urssaf, aucun numéro de Sécurité sociale, adresse e-mail, numéro de téléphone, coordonnées bancaires ou mots de passe n’a été récupéré.
Cela dit, ne nous voilons pas la face : même ces seules données constituent une matière première d’or pour les arnaqueurs — notamment pour des campagnes de phishing très convaincantes ou des attaques d’ingénierie sociale hyper ciblées.
📌 Deux incidents, une même dynamique inquiétante
🧨 Incident #1 — Pajemploi (Novembre 2025)
Fin novembre 2025, le service Pajemploi — géré par l’Urssaf — avait fait l’objet d’un vol massif de données touchant jusqu’à 1,2 million de salariés de particuliers employeurs. Parmi les informations exposées figuraient noms, prénoms, dates de naissance, adresses et numéros de Sécurité sociale, bien que les mots de passe et IBAN n’aient pas été compromis.
Cet incident avait déjà servi d’avertissement sévère sur la fragilité des chaînes de confiance entre l’administration et ses partenaires tiers.
Pour rappel : Mon article du mois de novembre
🔓 Incident #2 — API DPAE (Janvier 2026)
Quelques semaines plus tard, voilà que l’accès à une API réservée aux partenaires institutionnels est compromis parce qu’un compte de partenaire a été piraté en amont. Résultat logique : un accès frauduleux aux données de 12 millions de salariés embauchés récemment.
👉 Morale noire : lorsqu’un maillon de la chaîne est faible, toute l’architecture est compromise.
🧑💻 Ce que ça dit sur l’état de la cybersécurité en France
Le replay de ces incidents en moins de trois mois ne doit pas être minimisé. Il met en lumière plusieurs réalités inconfortables :
❗ 1. La dépendance aux accès partenaires fait exploser l’exposition au risque
Les API conçues pour faciliter l’interopérabilité doivent être sécurisées comme un coffre-fort, car elles peuvent devenir la porte dérobée la plus dangereuse lorsqu’un compte est compromis.
❗ 2. Le MFA (multi-factor authentication) n’est toujours pas universel
L’absence de l’authentification à facteurs multiples (MFA) sur les comptes partenaires a facilité l’accès aux intrus. Même avec des identifiants volés, un système correctement configuré avec MFA aurait rendu l’exploitation beaucoup plus difficile, voire impossible.
C’est un classique des attaques récentes : compromission de compte via credentials listés, puis exploitation sans seconde barrière. Une bêtise stratégique évitable.
🛡️ Bonnes pratiques à retenir — pour les organisations et les individus
💡 Pour les organisations (DSI, RSSI, dirigeants) :
- 🔐 Activer obligatoirement le MFA sur tous les comptes, internes et externes.
- 🧩 Auditer régulièrement les habilitations partenaires, questions d’accès et permissions API.
- 🗂️ Séparer les environnements et les droits : principe du moindre privilège.
- 📊 Journaliser et monitorer les accès API en temps réel (alertes sur comportements anormaux).
- 📜 Testez vos API en mode pentest/interne au moins trimestriellement.
💡 Pour les salariés et particuliers exposés :
- 📧 Méfiance absolue face aux e-mails inattendus, même s’ils semblent officiels.
- 📱 Ne jamais communiquer des données sensibles (même partielles) en réponse à une demande non sollicitée.
- 🔄 Surveiller ses comptes personnels et signaler toute activité suspecte.
🎯 Conclusion — une leçon coûteuse mais nécessaire
Ces deux incidents à quelques semaines d’intervalle montrent que la France n’est pas à l’abri des mêmes erreurs que les grandes entreprises internationales : dépendance aux identifiants réutilisés, absence de MFA, supervision insuffisante des comptes externes. C’est une alarme qui sonne fort, non seulement pour l’Urssaf, mais pour tous les services publics et privés qui manipulent des données personnelles.
Car si une API n’est pas sécurisée, c’est tout le monde qui est exposé.
