L’Urssaf exposée : 12 millions de salariés français touchés par une fuite de données

Lundi 19 janvier 2026 en fin de journée, l’Union de recouvrement des cotisations de sécurité sociale et d’allocations familiales (Urssaf) a publié un communiqué alarmant. L’organisme reconnaît « un accès non autorisé à l’API (interface d’échanges) contenant certaines données de la déclaration préalable à l’embauche, réservée à ses partenaires institutionnels », selon les informations révélées par Next.ink. Le périmètre de cette fuite massive : 12 millions de salariés français, soit toute personne « ayant fait l’objet d’une nouvelle embauche depuis moins de 3 ans ». Une ampleur qui place cet incident parmi les plus importantes violations de données touchant l’administration française ces dernières années.

Un scénario d’attaque devenu tristement classique

Le mode opératoire révélé par l’enquête interne ne surprendra aucun expert en cybersécurité. Selon 01net, les pirates ont d’abord ciblé un partenaire institutionnel de l’Urssaf lors d’une cyberattaque antérieure. Une fois les identifiants de connexion dérobés, ils ont pu se connecter à l’API DPAE (Déclaration Préalable À l’Embauche) en se faisant passer pour un utilisateur légitime. Cette technique, baptisée « attaque par rebond », permet aux cybercriminels de contourner les systèmes de détection en utilisant des accès parfaitement autorisés.

L’Urssaf précise que ses propres systèmes d’information n’ont pas été directement compromis. Nuance technique importante : il ne s’agit pas d’une intrusion massive dans les serveurs de l’organisme, mais d’un détournement d’accès légitime. Dès la détection de l’anomalie, l’organisme a suspendu le compte compromis et bloqué l’adresse IP suspecte, selon Clubic. Trop tard cependant pour empêcher la consultation et l’extraction potentielle de millions de dossiers.

Des données apparemment limitées mais redoutablement exploitables

Le butin des pirates pourrait sembler modeste au premier regard. Les informations exposées se limitent aux « nom, prénom, date de naissance, Siret de l’employeur, date d’embauche ». L’Urssaf insiste : aucun numéro de Sécurité sociale, aucune adresse électronique ou postale, aucun numéro de téléphone, ni aucune coordonnée bancaire ne figurent dans les données compromises. Une limitation liée au périmètre restreint de l’API DPAE elle-même.

Pourtant, cette apparente banalité cache un danger réel. Comme l’explique le Journal du Geek, ces informations deviennent redoutables une fois croisées avec d’autres bases de données volées. Un escroc disposant de votre nom exact, de votre entreprise actuelle et de votre date d’embauche précise peut fabriquer des courriels de phishing d’une crédibilité exceptionnelle. Imaginez recevoir un message mentionnant ces détails exacts, prétendant provenir de votre service des ressources humaines ou de l’Urssaf elle-même.

« Avec votre identité, le nom de votre employeur et votre date d’embauche exacts, un mail frauduleux peut soudain paraître beaucoup plus crédible qu’un spam basique », alerte le Journal du Geek.

Le syndrome de la répétition : Pajemploi, l’avertissement ignoré

Cette fuite massive n’est pas un coup du sort isolé. Elle intervient exactement deux mois après un incident similaire. Le 14 novembre 2025, le service Pajemploi de l’Urssaf avait été victime d’un vol de données touchant jusqu’à 1,2 million de salariés de particuliers employeurs, selon Le Monde. Cette première brèche avait exposé des informations plus sensibles : noms, prénoms, dates et lieux de naissance, adresses postales, numéros de Sécurité sociale et noms d’établissements bancaires.

La répétition du scénario interroge. Dans les deux cas, l’Urssaf a présenté ses excuses et promis de renforcer ses dispositifs de sécurité. Pourtant, moins de trois mois plus tard, un nouveau compte partenaire se révèle vulnérable. Cette récurrence pose la question de la « sécurisation des habilitations des partenaires pour limiter les risques », objectif affiché par l’organisme mais manifestement pas encore atteint.

L’authentification multifacteur, cette protection toujours optionnelle

Au cœur de ces violations répétées se trouve une faille béante : l’absence d’authentification multifacteur (MFA) obligatoire sur les comptes partenaires accédant à des données sensibles. En 2026, cette protection de base reste optionnelle pour de nombreux accès institutionnels. Le MFA aurait pourtant rendu inutilisables les identifiants volés, en exigeant une validation supplémentaire via smartphone ou clé de sécurité physique.

Midi Libre rapporte que l’Urssaf a déposé plainte auprès du procureur de la République et notifié l’incident à la Commission nationale de l’informatique et des libertés (Cnil) ainsi qu’à l’Agence nationale de la sécurité des systèmes d’information (ANSSI), conformément aux obligations légales. L’organisme assure que « les employeurs peuvent continuer à utiliser le service de déclaration préalable à l’embauche comme habituellement », la continuité de service étant garantie.

Douze millions de Français en état d’alerte maximale

L’Urssaf ne peut identifier précisément quels dossiers individuels ont été consultés parmi les 12 millions potentiellement exposés. Par principe de précaution, l’organisme considère donc l’ensemble des personnes embauchées depuis janvier 2023 comme vulnérables, qu’elles soient en CDI, CDD ou en contrat temporaire. Cette impossibilité de tracer précisément l’ampleur réelle de l’extraction illustre les limites des systèmes de journalisation actuels.

L’Urssaf appelle tous les salariés concernés à redoubler de vigilance face aux tentatives d’hameçonnage dans les semaines et mois à venir. La consigne officielle reste simple : aucune administration française ne demandera jamais mots de passe, codes bancaires ou coordonnées sensibles par courriel ou téléphone. En cas de doute, la seule réaction appropriée consiste à raccrocher puis rappeler soi-même l’organisme via ses coordonnées officielles, pour l’Urssaf le numéro 0 809 541 962.

Cette nouvelle fuite s’inscrit dans une série noire touchant les organismes publics français. Après la CAF et France Travail en 2025, puis Pajemploi en novembre, l’Urssaf rejoint la liste des institutions victimes de cybermalveillance. Une question demeure sans réponse satisfaisante : combien d’autres comptes partenaires, disposant d’accès privilégiés à des données sensibles, restent aujourd’hui protégés par de simples identifiants et mots de passe, sans authentification renforcée ?