Le site et l’application de la CAF ont connu une panne d’ampleur lundi 11 et mardi 12 octobre 2021. Un problème de configuration a permis à plusieurs internautes d’accéder à des dossiers d’allocataires ne leur appartenant pas. Dossiers qui contiennent de nombreuses informations personnelles.

Du lundi 11 octobre 2021 au petit matin, jusqu’au mardi 12 en milieu d’après-midi, l’accès au site de la CAF (Caisse des Allocations Familiales) a été fortement perturbé. Cela était dû à une erreur de configuration, qui a eu pour effet de rendre disponibles de nombreux dossiers d’allocataires à des personnes n’en étant pas les propriétaires.

Que s’est-il passé sur le site de la CAF ?

Dans son communiqué officiel, la CAF donne plus de détails sur ce bug.

Le samedi 9 octobre, toutes les CAF de France ont mis en place un nouvel outil permettant de s’identifier sur le site via le numéro de sécurité sociale, « au lieu du traditionnel numéro d’allocataire ». Une simplification bienvenue, qui a malheureusement provoqué quelques problèmes.

Le dimanche 10 octobre à partir de 21 h, « un incident informatique […] a conduit à ce que certains dossiers d’allocataires puissent être consultés par d’autres allocataires ». Une situation plutôt gênante quand on sait le nombre d’informations personnelles que contient un dossier de la CAF (date de naissance, situation maritale, professionnelle, salaire, etc.).

Selon Vincent Mazauric, directeur général de la caisse nationale des allocations familiales, cette « violation de l’intégrité des données » n’était « pas due à une attaque » ou « une vulnérabilité du système informatique ». C’est un simple bug de configuration qui était responsable du problème.

Pour limiter la casse, l’organisme a donc coupé l’accès au site le lundi 11 octobre aux alentours de 8 heures. L’accès semble désormais revenu ce mardi 12 octobre à 16h30.

Lors des tenatives de connexion, le site indique être « en maintenance » // Source : Capture d'écran

Lors des tenatives de connexion, le site indique être « en maintenance »

Source : Capture d'écran

Combien de personnes sont concernées par le bug ?

D’après la CAF, « environ 7 000 dossiers ont été concernés pendant quelques heures », avant que l’accès ne soit coupé. Un chiffre suffisant pour nécessiter une intervention, mais pas gigantesque par rapport aux 13,6 millions d’allocataires inscrits. Il y a statistiquement assez peu de chance pour que vous soyez touché, donc.

Les personnes concernées « seront informées individuellement » selon l’organisme, qui précise que les allocataires ayant « réalisé un changement de mot de passe avant dimanche 10 octobre à 21 heures » ne sont pas concernés. Seuls les comptes utilisant le mot de passe provisoire fourni par la CAF semblent donc concernés.

La Cnil a été informée de l’incident, ajoute l’organisme.

Mes informations sont-elles en sécurité ?

Si le site de la CAF n’a pas été victime d’une attaque informatique à proprement parler, les informations personnelles de quelques milliers d’allocataires ont pu être consultées et modifiées par des internautes qui n’en étaient pas propriétaires.

Pour éviter des problèmes de détournement d’allocation ou de modification des données personnelles, « les démarches effectuées pendant ces quelques heures sur ces comptes ont été annulées » précise la CAF. Ainsi, si un ou une allocataire mal intentionné a tenté de substituer votre RIB pour le sien durant le bug, vous ne risquez rien.

En revanche, il n’est pas impossible que des allocataires aient pu recopier les informations personnelles auxquelles ils ou elles ont eu accès durant le bug. La mine d’information personnelle issue des dossiers peut être utile pour des campagnes de phishing, ou pire, des tentatives d’usurpation d’identité. Soyez donc vigilant. Contactée à ce sujet, la CAF ne nous a pas détaillé comment, ou quand, elle compte joindre les allocataires concernés.

La Cnil de son côté va ouvrir une instruction sur le dossier et demande aux internautes qui ont accédé aux dossiers d’autres allocataires, qu’ils « n’en prennent pas copie et encore moins les publient sur les réseaux sociaux ou ailleurs ». « Le risque est moins important que s’il s’agissait d’une attaque massive, mais il est bien présent et on ne peut être à l’abri de personnes mal intentionnées » détaille la Cnil au journal La Provence.

Si vous craignez avoir été victime du bug, vous pouvez donc aller vérifier que vos informations personnelles n’ont pas été modifiées. Pour se faire, connectez-vous à votre espace personnel et sur le volet de droite, dans le cadre « Mon profil », sélectionnez « Consulter ou modifier ».

une comparateur meilleur vpn numerama

Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !