Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Contact rédaction Contact site Forum
Flux RSS GitHub Discord

À propos

Abonnez-vous

Plus de 60 000 identifiants CAF disponibles en ligne

Le 28 août à 10h24

Pour se connecter au site de la CAF, un internaute a besoin de son numéro de Sécurité sociale et d’un mot de passe.

Le service de veille Zataz indique qu’un acteur malveillant diffuse plus de 60 000 de ces couples d’identifiants en ligne, tout en précisant que tous ne fonctionnent pas nécessairement.

Contactée par Next, la Caisse nationale des allocations familiales (Cnaf) indique avoir « constaté la divulgation de données d'authentification de comptes d’allocataires sur le dark web », informé l’ANSSI, la CNIL et les autorités, et procéder aux investigations nécessaires.

Elle déclare par ailleurs : « il ne s’agit pas d’un évènement résultant d’une fuite d’informations issues de notre système d’information ».

D’après Zataz, ces informations pourraient avoir été récupérées à l’aide d’infostealers, des malwares dédiés à voler des informations sensibles.

Le 28 août à 10h24

Commentaires (16)

Vous devez être abonné pour pouvoir commenter.

Abonnez-vous
votre avatar
"C'est pas nous". C'est visiblement quelqu'un de complètement déconnecté de la réalité qui a répondu à la CAF.

Le fait de ne pas avoir trouvé de traces ne permet en aucun cas d'affirmer que ça ne s'est pas produit.
votre avatar
Je veux pas faire mon rabat joie, mais ils ne disent pas ne pas avoir trouvé de trace.

Les comptes en questions ont peut-être tous un point commun permettant à la CAF de savoir d'où vient la fuite.
votre avatar
Assez aligné avec ce message, il peut aussi y avoir la compromission d'un tier qui a accès à ces données.
votre avatar
Si c'est issu de campagnes de phishing, la CAF aura beau chercher tout ce qu'elle veut, elle ne trouvera rien.
votre avatar
Les mdp ne sont certainement pas stockés dans le système informatique de la CAF. Personne de sérieux ne stocke les mdp. Ils peuvent donc assurer que ça ne vient pas chez eux.
votre avatar
Ça ne permet pas de conclure que ça ne vient pas de la CAF. Tant que la fuite n'a pas été trouvée, il vaut mieux se garder d'affirmer quelque chose.

En 2018, British Airways s'est fait piraté 380.000 no de CB, pourtant en tant qu'entreprise respectueuse de la norme PCI-DSS elle n'enregistre pas les no de CB des clients. Les pirates ont ajouté un bout de javascript qui demandait au navigateur du client d'envoyer les no saisies dans le formulaire à un site tiers lorsqu'on validait le formulaire.
votre avatar
L'identifiant qu'on ne peut pas choisir ou changer, quelle bonne idée :incline:
votre avatar
Je ne connais pas de site qui permette de changer son identifiant sans créer un nouveau compte. Le choisir bien sûr, mais ce n'est pas l'identifiant qui est censé assurer la sécurité.
votre avatar
La CAF t'oblige a utiliser ton numéro de sécu comme identifiant.
votre avatar
Au hasard... next ^^ (même si je ne l'ai jamais fait)
votre avatar
Quand l'email sert d'identifiant, généralement il change quand on met à jour celui-ci. Je ne me souviens que de très rares cas où ça restait l'ancienne...

Celui qui me vient tout de suite en tête : Square Enix. J'avais beau avoir changé mon adresse mail, je recevais toujours les codes de précommande des extensions de FFXIV sur l'ancienne... :mad2:
votre avatar
La plupart des sites auprès de qui tu peux faire la demande par simple contact. Ou bien changer l'e-mail s'il a été compromis.

La CAF, les impôts, Ameli.fr... en gros tous les sites de l'État (coucou France Connect) n'en ont pas encore compris l'intérêt.
votre avatar
La news indiquée avec la pastille "sécu" depuis la page d'accueil. J'ai cru au sous-titre malicieux :D
votre avatar
"Elle déclare par ailleurs : « il ne s’agit pas d’un évènement résultant d’une fuite d’informations issues de notre système d’information »."

C'est rassurant...ou pas.
votre avatar
Franchement j'ai du mal à comprendre ici le leak de sécurité avec la CAF.

Fin des années 90 (25 ans déjà) en école d'ingé, quand on allait voir l'administrateur système (réseau sous Unix) parce qu'on avait oublié son mot de passe de login et qu'on voulait se "rafraichir" la mémoire" pour pouvoir se logger sur les stations de travail de l'école,
la réponse était toujours la même :
"pas possible, je ne connais pas votre mdp, je n'y ai pas accès, il est chiffré dans une database spéciale . Par contre je peux le réinitialiser à "abc123" pour une 1ere connexion"

A la CAF, tout est donc sauvegardé dans des fichiers .txt ?

Une anecdote 'amusante", un peu transverse mais liée à la sécurisation des données:

Un de mes camarades de classe avait été regarder et finalement "piquer" ou recopier dans son propre répertoire un compte rendu de TP à un autre camarade de classe en allant été voir dans le répertoire de celui-ci. Il avait les droits en lecture, et a donc pu le repomper recopier...

Quelques jours plus tard, souhaitant se débarrasser de ce fichier "génant"... dès fois que l'auteur du fichier l'aurait trouvé et s'exclamerait: "mais c'est mon compte rendu de TP !! "
Bref...au moment de l'effacer, il réalise que c'est IMPOSSIBLE !! Car pas les droits en écriture (rwx) sur ce fichier , et le nom de l'auteur du fichier dans les Paramètres...

Va voir l'ing système, et étant juste derrière à attendre mon tour, gros gros effort & self-control pour ne pas exploser de rire en entendant la réponse de l'admin:

"je ne peux pas non plus l'effacer ce fichier. Pas tous les droits aussi. Si tu veux vraiment le supprimer de ton compte, il faut que tu ailles demander directement au propriétaire du fichier que tu as copié de le faire pour toi".

Jamais su ensuite s'il avait osé été demander à son camarade de classe:"stp tu peux me virer ce fichier de mon répertoire, il est arrivé là par... hasard, un bug d'Unix sûrement..."

:mdr2::fumer:
.
votre avatar
il n'y en a pas un seul, parmi le lectorat NXI, qui s'interroge sur :
la fuite (un leak c'est en anglais, une fuite en français) n'émane pas d'un organisme rattaché ou de la CNAM lui même, mais tout simplement d'une unification des données des numéros INSEE par des hackers ici et là, exactement comme pour Comb, qui était non pas une "nouvelle fuite" comme certains ont tenté de le prétendre, mais un gros mix de fuites ayant eu lieu sur plusieurs années?

la réponse de la sécurité sociale, si ni elles, ni ses prestataires, n'ont été piratées, me parait alors très correcte et pertinente : la caf, comme n'importe quelle autre organisation, n'est pas responsable de la fuite de données occasionnées par ses utilisateurs, notamment si ils se font pirater leurs ordis/comptes en ligne.

il faut savoir remettre l'église au centre du village un peu...

Plus de 60 000 identifiants CAF disponibles en ligne

Fermer