Fuite de données CAF : Pass'Sport identifié, 3,5 millions de foyers exposés

Les numériques

Fuite de données CAF : Pass’Sport identifié, 3,5 millions de foyers exposés

#cyberattaques #fuitededonnees #piratages #CAF

Article mis en ligne le 20 décembre 2025

Le fichier couvre 4 ans et exposerait 3,5 millions de foyers uniques.

Noms, adresses, dates de naissance, emails et numéros de téléphone : un fichier de 22 millions de lignes et pesant 15 Go, a priori issu des bases de la CAF, a été publié mercredi soir sur un forum criminel. Les pirates présentent cette diffusion comme un acte de représailles contre l’État français.

La Caisse nationale des Allocations familiales a publié un communiqué ferme : "Notre système d’information n’a jamais été piraté et reste pleinement sécurisé." L’organisme affirme qu’aucune intrusion ni faille n’a été détectée dans ses systèmes ou sur le site caf.fr.

Selon la CNAF, les données diffusées proviendraient "du système d’information d’autres services publics", avec lesquels elle "échange des données pour l’attribution de prestations". Ces échanges, encadrés par la loi, concernent des partenaires comme France Travail, les impôts ou d’autres administrations. La CAF précise qu’aucune atteinte à ses flux d’information n’a été constatée.

Selon Christophe Boutry, expert en cybersécurité spécialisé dans l’analyse de fuites de données, le fichier ne proviendrait effectivement pas directement des systèmes de la CAF, mais du dispositif Pass’Sport, l’aide de 50 euros destinée aux jeunes pour la pratique sportive. Cette hypothèse s’appuie sur plusieurs éléments techniques : le fichier agrège des données de la CAF, de la MSA (agriculteurs) et du CNOUS (étudiants), un croisement propre au Pass’Sport. Chaque ligne contient par ailleurs un identifiant spécifique "id_psp".

L’analyse révèle également que les 22 millions de lignes constituent un historique cumulatif sur quatre ans (2022 à 2025), avec une même personne pouvant apparaître jusqu’à quatre fois. Après dédoublonnage, le fichier contiendrait environ 3,5 millions de foyers uniques, un chiffre bien inférieur aux premières estimations, mais qui reste considérable.

Reste que le résultat demeure : un fichier contenant les informations personnelles de millions d’allocataires circule désormais librement. Que la brèche soit survenue chez la CAF ou chez un partenaire importe peu pour les personnes concernées, dont les données sont d’ores et déjà exploitables par des acteurs malveillants.

La CAF confirme bien que les données ne comprennent aucune donnée bancaire ou de mot de passe". Mais face à la circulation de ces informations personnelles, nous vous recommandons, une nouvelle fois et par précaution, de changer votre mot de passe.

Décembre 2025 restera comme un mois noir pour les données des Français. Un fichier contenant 22 445 764 lignes d’informations personnelles prétenduement issu des bases de la CAF a été publié sur un forum criminel notoire, dont nous ne révélérons pas le nom par souci de ne pas faciliter l’accès aux données volées, et par déontologie journalistique, dans la nuit du 17 au 18 décembre. Le groupe à l’origine de cette diffusion présente son acte comme un "cadeau de Noël" aux internautes français.
Une attaque potentiellement coordonnée contre les institutions françaises

Cette divulgation intervient quelques jours après l’intrusion dans les systèmes du ministère de l’Intérieur, qui a exposé les fichiers de police de 16,4 millions de personnes. Les deux attaques ont été publiées sur le même forum criminel et présentées comme des représailles aux arrestations effectuées en juin 2025. Le groupe revendique également avoir compromis la DGFIP et la CNAV. Début décembre, un compte d’agent compromis avait aussi permis l’accès aux données personnelles de jeunes suivis par les Missions Locales et France Travail, bien qu’aucun lien ne soit établi à ce stade.

Les pirates qui ont publié ces données affirment agir en représailles aux arrestations menées en juin 2025 par les autorités françaises. Cinq personnes avaient alors été interpellées pour leur rôle présumé d’administrateurs du forum, dont quatre Français opérant sous les pseudonymes ShinyHunters, Hollow, Noct et Depressed, ainsi que le Britannique Kai West, alias IntelBroker, arrêté en février. Un suspect de 22 ans a été interpellé mardi à Limoges dans le cadre de l’enquête sur l’intrusion au ministère de l’Intérieur, mais son lien avec ces publications reste encore à établir.

Le fichier, dont nous avons pu vérifier l’authenticité, daté de novembre 2025 avec des données remontant jusqu’à septembre 2024, contient des informations complètes sur les allocataires : identités, coordonnées postales, adresses électroniques et numéros de téléphone. (...)

En l’absence de confirmation officielle, adoptez le principe de précaution

Les risques sont immédiats : usurpation d’identité, hameçonnage ultra-ciblé, détournement d’allocations... La CAF a déployé depuis le 10 décembre une authentification à deux facteurs, mais cette mesure intervient après la compromission.

Face à cette brèche, nous ne pouvons que recommander aux allocataires d’agir sans attendre. Modifier immédiatement son mot de passe CAF et activer la double authentification constitue la première urgence. Il convient ensuite de surveiller ses comptes bancaires et de redoubler de vigilance face aux messages suspects, même personnalisés, qui se feront passer pour l’administration. Surtout, ne jamais communiquer d’informations sensibles par email ou téléphone, même si l’interlocuteur dispose déjà de vos données personnelles : c’est désormais le cas de n’importe quel escroc.

Le contrat d’engagement républicain, outil de mise au pas du monde associatif

Créé afin de lutter contre « l’islamisme radical » et « tous les séparatismes », le contrat d’engagement républicain (CER) n’a, à ce jour, jamais en réalité été invoqué à l’égard d’associations confessionnelles, qu’elles soient islamistes ou liées à d’autres mouvements radicaux ou séparatistes, révèle un décompte réalisé par l’Observatoire des libertés associatives.

Et sur les vingt-quatre cas relevés, seuls trois portent sur des faits liés à la religion musulmane au sein d’associations telles qu’une section locale du Planning familial, accusée d’avoir représenté une femme voilée sur une affiche, une MJC, à laquelle on a reproché d’avoir embauché des femmes voilées, et une association d’aide aux femmes, accusée sans preuve de « prosélytisme religieux ».

Pour le reste, le CER, que les associations doivent obligatoirement signer lorsqu’elles demandent une subvention, a été brandi à l’égard de l’association Alternatiba Poitiers accusée de « désobéissance civile » ; d’une association d’aide aux mal-logé·es, l’Atelier populaire d’urbanisme (APU), dont une salariée est accusée de violences verbales envers des agents municipaux ; d’une association d’aide aux immigré·es ayant appelé à une manifestation contre les violences policières interdites ; d’une télévision associative, Canal Ti Zef à Brest, mobilisée dans la lutte contre l’évacuation d’un squat ; ou encore d’une compagnie de théâtre, la compagnie Arlette Moreau à Poitiers, ayant moqué son préfet. (...)

Lors de l’adoption de la loi séparatisme, à l’été 2021, des député·es de l’opposition et des responsables associatifs avaient déjà alerté sur les risques d’un détournement du CER dans un but de répression politique. (...)

Parler de détournement du CER est excessif. Lorsqu’on relit les débats parlementaires, on se rend en effet compte que la majorité assumait, dès le départ, le fait de ne pas viser exclusivement les associations séparatistes radicales mais toute association ayant recours à certains modes d’action liés à la désobéissance civile. (...)

Pourtant, malgré ce champ d’application particulièrement large, le contrat d’engagement républicain est en partie un échec pour le gouvernement. « Le bilan est encore loin d’être concluant », constatait un rapport d’évaluation du Sénat publié au mois de mars, qui soulignait le peu de cas de mobilisation du CER – quatre selon le rapport – et des modalités d’application disparates en fonction des collectivités. « Cette loi ne fait peur à personne. Surtout pas aux islamistes », assénait même sa rapporteuse, Jacqueline Eustache-Brinio.

Comment le gouvernement s’est lui-même piégé (...)

En créant ce contrat, le gouvernement s’est en quelque sorte piégé lui-même. Il n’existe pas en effet de droit à la subvention pour les associations. Chaque collectivité dispose de ce fait d’un droit discrétionnaire en matière d’attribution et elle peut refuser ou accorder telle ou telle subvention sans avoir à se justifier.

En créant le CER, la loi séparatisme a créé un nouvel acte administratif qui offre une prise juridique, un recours possible pour les associations. Or, dans la seule décision visant directement le CER rendue à ce jour, le tribunal administratif de Poitiers a rejeté la demande du préfet de la Vienne visant à obtenir le remboursement d’une subvention versée à l’association Alternatiba pour avoir tenu un atelier de désobéissance civile.

D’autres recours lancés ces derniers mois devraient permettre de préciser cette jurisprudence naissante. (...)

il n’est par exemple qu’évoqué à l’oral dans une réunion ou dans un mail ou brandit comme une menace, sans que l’on sache s’il est vraiment à l’origine d’une sanction à non.

Au mois d’août dernier, Le Monde révélait ainsi qu’il existe une « liste rouge » d’associations basées dans la région du plateau de Millevaches qui seraient privées de subventions par la préfecture sans que cela leur ait été officiellement notifié, leur ôtant ainsi toute possibilité de recours.

Plus récemment, une association d’aide aux immigré·e·s, l’Asti du Petit-Quevilly en Seine-Maritime, s’est vu « rappeler » ses engagements par la préfecture pour avoir appelé à une manifestation contre les violences policières interdite. Celle-ci a transmis cet « avertissement » aux partenaires financiers, dont la métropole de Rouen, qui a en conséquence suspendu l’examen des demandes de subvention de l’Asti. (...)

« Il y a chez certaines collectivités une profonde incompréhension du CER, qui est utilisé à tort et à travers, et notamment comme un moyen de pression, de régulation des relations avec les associations », analyse Claire Thoury, présidente du Mouvement associatif, une organisation regroupant environ 700 000 associations, et qui avait publié, en janvier 2023, un premier bilan de l’application du CER. (...) « Le CER a désormais un effet presque plus symbolique que pratique », ajoute Julien Talpin, chercheur en science politique au CNRS et l’un des fondateurs, en 2019, de l’Observatoire des libertés associatives. « On peut penser que certaines associations n’oseront plus aborder certains sujets comme les violences policières ou en ce moment le conflit israélo-palestinien. Le problème est de réussir à objectiver ces effets indirects et diffus et cette autocensure. » (...)

« Il y a donc une dissonance entre ce que prétend défendre le CER et les conséquences de son application à certaines associations, pointe-t-elle. Cela ne fait en outre qu’ajouter de la confusion à ce que sont les valeurs républicaines. » (...)

L’entrée en vigueur du CER est en outre intervenue dans un contexte de défiance croissante entre le monde associatif et les autorités. « Nous sommes en fait dans un contexte de dérive générale », affirme Claire Thoury. (...)

« Il y a également eu récemment le maire de Saint-Raphaël qui impose à toutes les associations touchant des subventions de participer aux manifestations patriotiques de la ville. C’est hallucinant ! », s’indigne la présidente du Mouvement associatif. (...)

« Les associations ne sont pas là pour faire plaisir aux pouvoirs publics, insiste Claire Thoury. Ce n’est pas leur mission. Mais l’inverse non plus ! Une association peut très bien s’opposer à une collectivité sur un sujet précis et être en accord sur un autre. C’est ce qu’on appelle un contre-pouvoir et c’est tout simplement le cours normal de la vie démocratique. » (...)

Source

Dans la même rubrique