Cyberattaque contre la CAF : les données de 8 millions de Français exposées
Dans la nuit du 17 au 18 décembre 2025, un fichier massif de 15 Go contenant 22 millions de lignes de données personnelles d'allocataires de la CAF a été diffusé sur un forum criminel. Après suppression des doublons, cette fuite concernerait environ 8 millions de Français répartis dans 3,5 à 4 millions de foyers. Le groupe de hackers Indra présente cyniquement cette attaque comme un « cadeau de Noël ».
Les informations compromises sont particulièrement sensibles : noms, prénoms, adresses postales, adresses e-mail, numéros de téléphone, dates de naissance, mais aussi les matricules et identifiants CAF. Plus inquiétant encore, les numéros INE des enfants et des étudiants rattachés aux dossiers figurent également dans cette base de données.
Selon les premiers éléments de l'enquête, ces données pourraient provenir du dispositif Pass'Sport, le seul à croiser les bases de la CAF, de la MSA (régime agricole) et du CNOUS (étudiants). Le groupe Indra, déjà connu pour la récente cyberattaque contre le ministère de l'Intérieur, est à l'origine de cette diffusion massive.
Une série noire pour la cybersécurité française
Cette nouvelle attaque s'inscrit dans un contexte alarmant pour la cybersécurité des institutions françaises. Les deux attaques ont été publiées sur le même forum criminel et présentées comme des représailles aux arrestations menées en juin 2025 contre des membres de réseaux de hackers.
Pour rappel, la CAF avait déjà subi plusieurs cyberattaques en 2024 : en février, le groupe LulzSec avait revendiqué l'accès à 600 000 comptes, et en août, les données de 60 000 personnes avaient été mises en vente sur le dark web. Avec 13,5 millions de foyers bénéficiaires, ce sont potentiellement plus de la moitié des allocataires qui pourraient être touchés par cette nouvelle fuite.
La CAF enquête mais ne confirme pas pour l'heure une intrusion directe dans ses systèmes. En attendant, il est vivement recommandé aux allocataires de changer immédiatement leur mot de passe avec au moins 12 caractères mélangeant majuscules, minuscules, chiffres et caractères spéciaux, et de surveiller régulièrement leur compte pour vérifier que personne n'a modifié leurs coordonnées bancaires.