Fuite de données CAF : 22 millions de lignes exposées dans une cyberattaque sans précédent

Décembre 2025 restera comme un tournant dans l’histoire de la sécurité numérique des services publics français. Une cyberattaque ciblant la Caisse d’allocations familiales (CAF) a mis au jour un fichier contenant plus de 22 millions de lignes de données personnelles — touchant potentiellement des millions de familles, d’étudiants et de jeunes allocataires. Loin d’être une simple faille technique, cet incident révèle une stratégie offensive contre les piliers de l’État social, avec des conséquences concrètes pour la vie privée et la sécurité de chacun.

La réalité derrière les 22 millions de lignes

Le fichier en circulation depuis la nuit du 17 au 18 décembre provient directement des systèmes internes de la CAF. Il contient des noms complets, adresses postales, numéros de téléphone, courriels et références administratives. Même si le nombre exact de personnes concernées varie entre 3,5 et 8,6 millions selon les méthodes d’analyse, l’ampleur dépasse de loin toute fuite antérieure. Ce n’est plus une erreur humaine ou une mauvaise configuration : c’est une extraction massive, organisée, revendiquée comme un acte de “vengeance” après l’arrestation de membres d’un forum underground en juin 2025.

Le Pass’Sport, maillon faible du système social

La source probable de cette fuite ? Le dispositif Pass’Sport. Conçu pour simplifier l’accès aux activités sportives pour les jeunes, ce programme centralise des données issues de plusieurs organismes : CAF, Mutualité sociale agricole (MSA) et CNOUS. Résultat : des enfants, des parents et des étudiants se retrouvent tous dans un même fichier — idéal pour l’administration, mais désastreux en cas de compromission.

L’attaque ne se limite d’ailleurs pas à la CAF. Le même groupe affirme avoir également infiltré le ministère de l’Intérieur, la DGFIP et la CNAV, confirmant une campagne systématique contre les infrastructures sociales et fiscales françaises.

Usurpation, hameçonnage, escroqueries : les dangers concrets

Avec ces informations, les cybercriminels peuvent personnaliser leurs attaques avec une précision inquiétante. Imaginez un appel “de la CAF” qui cite l’âge de vos enfants, votre quartier, voire le montant de votre dernière allocation. La crédibilité devient totale. Ces scénarios d’hameçonnage ciblé visent à soutirer des codes, des RIB, ou à rediriger vos paiements sociaux vers des comptes frauduleux.

Protéger son foyer en 5 gestes essentiels

Face à l’absence de communication officielle rapide, l’initiative individuelle est cruciale. Voici les réflexes à adopter sans attendre :

• Modifier immédiatement votre mot de passe CAF — sans le réutiliser ailleurs.
• Activer la double authentification dès que possible.
• Surveiller tous les mouvements bancaires liés aux aides sociales.
• Ignorer tout message non sollicité demandant des informations personnelles.
• Signaler toute tentative suspecte à la CAF et à la CNIL.

Une urgence nationale pour la cybersécurité sociale

Cette fuite n’est pas qu’un problème technique. Elle interroge la résilience numérique de notre modèle social. Alors que les montants du RSA, de l’AAH et des allocations familiales sont réévalués chaque année, la confiance dans leur gestion numérique doit être impérativement restaurée. Car protéger les données des plus vulnérables, c’est protéger la République elle-même.