L’Urssaf a lancé, lundi 19 janvier, un appel à la vigilance quant à des risques d’hameçonnage après la détection d’un accès frauduleux à une interface contenant des données des déclarations préalables à l’embauche ; 12 millions de salariés sont potentiellement concernés.
« L’Urssaf a constaté un accès non autorisé à l’API [l’interface] contenant certaines données de la déclaration préalable à l’embauche, réservée à ses partenaires institutionnels, opéré via un compte partenaire habilité dont les identifiants avaient été compromis », explique l’organisme de recouvrement des cotisations de sécurité sociale et d’allocations familiales dans un communiqué.
Les données qui ont été « consultées et potentiellement extraites » sont les noms, prénoms, dates de naissance, Siret de l’employeur et dates d’embauche de 12 millions de salariés recrutés depuis moins de trois ans, précise l’Urssaf. En revanche, aucun numéro de sécurité sociale, adresse électronique ou postale, coordonnées bancaires ou numéro de téléphone n’est concerné, souligne le communiqué.
Plainte déposée
L’hameçonnage (ou phishing) est une technique d’escroquerie sur Internet consistant à se faire passer pour un organisme que le destinataire connaît en lui envoyant un courriel lui demandant généralement de mettre à jour ses informations, notamment ses coordonnées bancaires, selon la définition de la Commission nationale de l’informatique et des libertés (CNIL).
« Les premières investigations révèlent que l’accès frauduleux (…) a été opéré via un compte partenaire habilité à consulter ces informations », car « les identifications de connexion liés à ce compte avaient été volées lors d’un acte de cybermalveillance antérieur visant ce partenaire. » L’Urssaf explique avoir suspendu les accès du compte compromis et déposé une plainte auprès du procureur de la République.
A la mi-novembre, l’Urssaf avait fait savoir que le service Pajemploi, servant à déclarer et à rémunérer les assistantes maternelles et les salariés de la garde d’enfants à domicile, avait été victime d’un vol de données qui avait alors pu concerner « jusqu’à 1,2 million de salariés de particuliers employeurs ».
