L’extraction des données aurait été « opérée via un compte partenaire habilité à consulter ces informations », dont les identifiants ont été compromis.
Dans un communiqué publié le 19 janvier 2026, l’Urssaf indique avoir découvert un accès frauduleux à son API « déclaration préalable à l’embauche », une interface normalement réservée à des partenaires institutionnels. Concrètement, cette faille pourrait concerner « 12 millions de salariés ayant fait l’objet d’une nouvelle embauche depuis moins de 3 ans. »
Si l’organisme précise qu’aucun numéro de Sécurité sociale, aucune adresse mail ou postale, aucun numéro de téléphone ni aucune coordonnée bancaire ne sont concernés par cet incident, les risques demeurent bien réels et ne doivent pas être minimisés.
Noms, prénoms, dates de naissance, Siret de l’employeur et dates d’embauche
Peu d’informations ont été communiquées sur la quantité précise de données effectivement extraites à la suite de cet acte malveillant. On sait cependant que les noms, prénoms, dates de naissance, Siret de l’employeur et dates d’embauche ont pu être consultés.
Des informations particulièrement intéressantes pour des acteurs cybercriminels cherchant à mener des campagnes de phishing très ciblées, en se faisant passer par exemple pour un employeur, un organisme social ou une banque.
L’Urssaf en a pleinement conscience et invite à « redoubler de vigilance sur les risques d’hameçonnage et à ne jamais communiquer les mots de passe ou coordonnées bancaires par téléphone ou par mail. »
Le risque de croiser plusieurs fuites
Le risque est réel : les cybercriminels pourraient croiser ces données avec celles d’autres fuites déjà disponibles sur le Dark Web, afin d’affiner le profilage de leurs cibles et de déployer des techniques d’ingénierie sociale encore plus redoutables.
Pour les employeurs, il convient donc d’adopter des mesures de précaution supplémentaires, quitte à vérifier systématiquement par téléphone, en visioconférence ou en réunion physique toute demande impliquant une manipulation sensible, comme l’enregistrement d’un IBAN.
Il n’est pas rare que des attaquants parviennent à simuler des échanges légitimes entre employés d’une même entreprise, jusqu’à imiter le ton d’écriture de certains collaborateurs, ce qui rend ces attaques particulièrement efficaces lors de périodes d’échanges sensibles, comme les semaines qui suivent une nouvelle embauche.
Vous pouvez également vérifier si votre adresse mail est concernée par une fuite récente sur le site haveibeenpwned.com et, le cas échéant, transmettre à votre employeur un nouveau canal de communication plus sûr, afin de vous assurer que les échanges ne proviennent pas d’un fraudeur.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !