La Cnaf (Caisse Nationale d’Allocations Familiales) confirme avoir été victime d’une violation de données concernant les comptes d’allocataires. Les mots de passe des comptes ont été volés et sont disponibles sur le darkweb, ajoute la Cnaf. Plusieurs milliers de comptes ont été visités de manière illégitime, poursuit la Cnaf. « Des personnes malveillantes se sont connectées à des comptes d’allocataires avec leurs mots de passe réels, volés et mis à disposition sur le darkweb » décrit la Cnaf. La semaine dernière, un groupe de hackers a revendiqué avoir accédé à des comptes d’allocataires de Caisses d’allocations familiales, rappelle la Cnaf.
Possibilité de modification des coordonnées bancaires
La Cnaf informe que ces personnes malveillantes pourraient tenter de modifier les coordonnées bancaires des allocataires, c’est-à-dire leur RIB. Cela permettrait de détourner les versements. La Cnaf veut rassurer en précisant que ce changement de coordonnées bancaires s’il est fait en ligne fait l’objet de contrôles de sécurité pour vérifier que le changement est légitime. En cas de doute, la démarche est validée par un conseiller avant que le changement ne soit effectif, ajoute la Cnaf.
La Cnaf confirme le vol des mots de passe et leur publication sur le Darkweb à la suite de plusieurs jours d’enquête. La Cnaf va contacter chaque allocataire dont il est attesté que le compte a été visité et son mot de passe va être réinitialisé afin de bloquer l’accès à son compte par une personne non autorisée. La sécurité du site caf.fr en revanche est assurée et il n’ pas été piraté, insiste la Cnaf.
Les mots de passe devront être plus compliqués
La Cnaf modifie sa politique sur les mots de passe afin de mieux sécuriser les accès aux comptes des allocataires. Depuis la semaine dernière, le niveau de sécurité des mots de passe pour les nouveaux comptes a été renforcé. Le 22 février, les Caf ont lancé une campagne pour inciter les allocataires à changer leur mot de passe.
A partir du 8 mars, les allocataires auront l’obligation de changer de mot de passe s’ils ne l’ont pas encore fait, dès qu’ils se connecteront à leur compte. Le mot de passe devra comporter au moins 10 caractères, au moins un chiffre, une minuscule et une majuscule, modifié régulièrement et différent de ceux que l’on utilise sur d’autres sites.
Ceci dit, on ne voit pas à ce stade en quoi rendre les mots de passe encore plus complexes aurait eu un impact sur le vol dont la Cnaf est actuellement victime. Cela devrait aboutir à court terme à compliquer la vie des allocataires. Enfin, une plainte a été déposée par la Cnaf et elle a effectué un signalement à la Cnil, une enquête est en cours.