S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Nouvelle fuite de données à l’Urssaf, 12 millions de victimes potentielles

L’Urssaf a publié lundi 19 janvier au soir une alerte relative à « un accès non autorisé à l’API (interface d’échanges) contenant certaines données de la déclaration préalable à l’embauche, réservée à ses partenaires institutionnels ».

Cette intrusion aurait permis la consultation ou l’extraction de données relatives à des salariés « ayant fait l’objet d’une nouvelle embauche depuis moins de 3 ans ». Les informations concernées sont « nom, prénom, date de naissance, Siret de l’employeur, date d’embauche », indique l’organisme.

L’accès aurait été réalisé via un compte partenaire, grâce à des identifiants dérobés lors d’une attaque survenue plus tôt et ayant visé ce partenaire. Les systèmes d’information de l’Urssaf n’auraient pas été compromis, et la continuité de service est assurée pour la déclaration préalable à l’embauche.

« Les employeurs peuvent continuer à utiliser le service de déclaration préalable à l’embauche comme habituellement », promet l’Urssaf, qui indique avoir immédiatement pris les mesures nécessaires, mis fin aux accès du compte compromis et augmenté la « sécurisation des habilitations des partenaires pour limiter les risques ».

L’Urssaf ne précise pas nommément qui sont les victimes potentielles mais chiffre à 12 millions de salariés le périmètre de salariés concernés.

L’organisme en charge des cotisation sociales avait déjà été victime d’un incident de cybersécurité en novembre dernier. Il concernait alors le service Pajemploi (formalités entre parents employeurs et gardes d’enfants), et avait exposé « jusqu’à 1,2 million de salariés de particuliers employeurs ».

Commentaires (14)

votre avatar
Union Regroupant les Sans Sécurité et Afficionados des Fuites ?
votre avatar
:dix:
votre avatar
Il y a du :
*) mauvais, la fuite
*) et du bon, ils surveillent leurs API, c'est un progrès en maturité sécurité...
votre avatar
un jour, ils découvriront les limites de requêtes par heure par token, le MFA, et les indicateurs et alertes automatiques en cas de flux trop importants... mais pas ce soir apparemment
votre avatar
votre avatar
Je vais monter un site sur lequel je vais mettre mes propres données personnelles à la vente, au moins ça me rapportera un peu de sous et je ne serai plus inquiété par les fuites éventuelles.
votre avatar
On parle des données de l'URSSAF, mais l'organisme n'est pas directement en cause alors ? C'est plutôt le prestataire qui est fautif ?
L'URSSAF a juste détecté le mésusage et pris les précautions nécessaires.
votre avatar
Ce qui me fait bondir (contre l'URSAFF mais aussi pour moi !) c'est qu'il n'y a pas eu d'indicateur visible pour dire qu'un flux important était en cours ? Une telle extraction doit bien être visible sur les serveurs ?
N'y a-t-il pas des alertes à ce sujet dans des grosses bases de données ?
(Bossant pour une administration bien plus petite, je me dis aussi qu'il serait bien que j'essaye de mettre au point un tel système)
votre avatar
Je suppute que le SIEM aurait du déclencher une alerte, pour peu que les logs spécifiques soient intégrés.

Mais ça fait beaucoup de conditions : SIEM -> Visibilité sur ce point spécifique -> Règles de détection et d'alertes configurées.
votre avatar
Parfois ils envoient les données mais pas à fond les ballons, justement pour éviter que le flux soit trop important et génère une alerte.
votre avatar
En plus c'est même pas forcément au niveau réseau qu'on peut/doit le faire. Les BDDs ont depuis des lustres ces fonctionnalités (Nbr query/sec, etc). Parfois même dans la configuration par défaut.

Faut croire qu'on a des professionnels de la fumisterie. Cette fois ci c'est pas volé.

L'URSSAF est le centre autour duquel gravitent la totalité des entreprises. En bref pour faire de l'intelligence économique (donc la guerre), y'a pas mieux que de s'en prendre à cette administration.

Et donc, quand on est capable de voir qu'on sera la cible N°1, il faut blinder. Y compris chez les prestataires. ... ... Ha heu désolé j'ai oublié qu'il y avait un prestataire dans la boucle... Oui... nan... mais parfois j'oublie qu'on est dans un monde à complètement à l'envers.
votre avatar
Il est difficile de vraiment savoir si ça aurait pu protéger car on manque d'informations : peut-être que cette API est justement une API d'export de masse, auquel cas de gros flux sont attendus ou peut-être que le partenaire s'est fait choper sa clé il y a 3 mois et que le pirate a exporté progressivement en prenant garde à ne pas faire sonner de règles.
On ne sais pas vraiment : on a aucune info sur l'API concernée, ni sur la temporalité.
votre avatar
« ayant fait l’objet d’une nouvelle embauche depuis moins de 3 ans »
Ouf, je suis de fait épargné pour une fois.

Sinon, j'ai l'impression qu'il y a un point qui manque à beaucoup de systèmes de sécurité, c'est de surveiller le volume de requêtes.

Parce que bon, qu'on dérobe des identifiants, ça se conçoit, par contre qu'on puisse tout rapatrier avec un unique identifiant et généralement dans des temps assez restreints, c'est quand même un souci de limitation des droits associés.

Y'a un moment, au bout de plusieurs milliers de requêtes provenant d'un seul utilisateur "pas prévu pour ça", on devrait soupçonner quelque chose non ? Je pense pas que le salarié moyen de l'Urssaf charge 20 000 fiches dans sa journée.
votre avatar
le tout pour 45% de votre CA m'sieurs dames... :bocul: