La Caisse des dépôts vient d’être victime d’une importante fuite de données. L’institution financière publique déplore en effet une violation de données concernant environ 70 000 personnes. Il s’agit d’agents contractuels de la fonction publique, d’élus locaux ou encore de praticiens hospitaliers.
Ces derniers, prévenus comme le veut la réglementation, ont désormais perdu le contrôle de plusieurs informations personnelles. Il s’agit de leur numéro de sécurité sociale, leurs noms et prénoms, leur date, département et la ville de naissance, et enfin leur adresse postale quand elle était renseignée.
Par contre, les attaquants n’ont pas mis la main sur des données bancaires, des mots de passe, des adresses courriel et des numéros de téléphone. Outre une notification à la Cnil, une plainte ”a été déposée auprès des autorités compétentes”, précise la Caisse des dépôts.
Mais la France c’est quoi ce pays qui se fait pirater NOS données tous les 4 matins ? C’est pas je reçois une lettre de la caisse des dépôts parce que mes données persos ont été récupérées chez eux ?? Eh j’en ai marre…
— DreamyTat (@dreamytat.bsky.social) 11 février 2025 à 16:34
Identifiants volés
Selon les investigations de l’institution financière, des pirates non identifiés ont réussi à prendre le contrôle d’identifiants de connexion à la plateforme permettant aux employeurs publics “de remplir leurs obligations auprès des régimes de retraite”. La Caisse des dépôts a en effet une mission de gestionnaire de fonds de retraites.
Ces identifiants utilisés frauduleusement ont permis à l’attaquant d’accéder “de manière illégitime à des données personnelles de certains affiliés à l’Ircantec”, la retraite complémentaire d’un contractuel de la fonction publique. On ignore comment les identifiants ont été volés et à qui.
“Dès la connaissance des faits, la Caisse des dépôts a immédiatement pris les mesures qui s’imposaient pour remédier à la violation de données”, assure enfin la structure. Une façon de “limiter les conséquences négatives à l’encontre des affiliés”.
Recommandations de la Cnil et de l’Anssi
Il s’agissait tout d’abord de bloquer les connexions frauduleuses et de renforcer le contrôle sur la création de comptes sur la plateforme. L’institution financière précise ensuite avoir renforcé la sécurité de son système informatique. Et vérifié, par précaution, l’absence de modifications frauduleuses, pour pouvoir prévenir ensuite les organismes partenaires d’une activité anormale sur les traitements de données.
Après la vague de fuites de données déplorée depuis la fin de l’été, la Cnil et l’Anssi avaient récemment partagé leurs recommandations. Le gardien des données personnelles rappelait notamment l’importance d’une bonne défense en profondeur, avec l’utilisation de l’authentification multifacteur ou encore les risques d’habilitations trop larges.
La Cnil suggérait également de faire des analyses en temps réel des flux réseaux pour détecter une activité anormale telle qu’une extraction de données massives.