A mesure que les investigations de la CAF suite aux revendications d’un groupe « d’hacktivistes » se poursuivent, le bilan de l’attaque se révèle un peu plus sérieux que prévu.
Si dans un premier temps, la Caisse d’Allocations Familiales n’avait communiqué que sur 4 comptes compromis, elle a revu ce chiffre à la hausse dans un nouveau communiqué qui évoque cette fois « plusieurs milliers » de comptes allocataires « visités de manière illégitime ». Le nombre exact des comptes affectés n’a pas été précisé.
La façon dont les attaquants sont parvenus à accéder à ces comptes n’est pour l’instant pas connue.
La CAF dément néanmoins toute faille provenant de ses propres services, et évoque plutôt des mots de passe volés et diffusés « sur le dark web » que les attaquants auraient utilisé pour accéder aux comptes. La CAF précise avoir déposé plainte auprès de la CNIL.
S’accaparer d’éventuels remboursements
Le communiqué précise que les attaquants ne peuvent pas accéder aux coordonnées bancaires (RIB) sur les comptes, mais explique que ces derniers pourraient tenter de les modifier pour s’accaparer d’éventuels remboursements.
L’organisme rappelle néanmoins que la modification des données bancaires fait l’objet de vérifications pour vérifier que le changement est légitime, vérifications qui peuvent inclure la validation par un conseiller allocataire.
Pour renforcer la sécurité des comptes, la CAF a néanmoins décidé de réinitialiser les mots de passe des utilisateurs et de renforcer le niveau de sécurité des mots de passe.
« Changer de mot de passe deviendra obligatoire »
Une campagne d’incitation au changement de mots de passe a été lancée auprès des allocataires depuis le 22 février, et à compter du 8 mars, « changer de mot de passe deviendra obligatoire pour tous les allocataires qui ne l’ont pas encore fait. »
Le 12 février, un groupe avait revendiqué sur Telegram être parvenu à dérober les accès de 600 000 comptes d’allocataires de la CAF, sans jamais avancer d’élément permettant de vérifier ces affirmations. Ce groupe actif depuis octobre 2023 reprend le nom d’un groupe d’hacktivistes connu en 2011/2012 mais démantelé depuis.