Cyberattaque à la CAF, la fuite massive de données de millions d'allocataires (décembre 2025)

Le 17 décembre 2025, un volume inédit de données personnelles issues de la Caisse d'Allocations Familiales (CAF) a été diffusé sur un forum de cybercriminels. Le groupe de hackers Indra, déjà impliqué dans le piratage du ministère de l'Intérieur une semaine plus tôt, a revendiqué cette fuite comme un « cadeau de Noël à la France », selon ses propres termes. En quelques heures, plusieurs experts en cybersécurité ont confirmé l'authenticité de ces informations, révélant l'ampleur sans précédent de l'incident.

Pas moins de 22 millions de lignes de données figurent dans le fichier divulgué (environ 15 Go), ce qui correspondrait à environ 3,5 à 4 millions d'allocataires concernés. Noms, prénoms, dates de naissance, adresses email et numéros de téléphone font partie des informations exposées, couvrant des allocataires inscrits entre 2022 et 2025. Les hackers d'Indra ont accompagné la publication d'un message teinté de provocation, présentant l'opération comme un geste symbolique « destiné au public français à l'approche des fêtes ».

Une fuite massive dévoilée sur un forum criminel

Le forum BreachForums, bien connu des milieux cyber, a servi de plateforme à cette divulgation. C'est là qu'Indra a publié, le 17 décembre au soir, un post annonçant la compromission de la base de données de la CAF, accompagné d'un lien de téléchargement vers l'archive de 15 Go évoquée. L'impact est immédiat : en quelques clics, n'importe quel acteur malveillant peut désormais accéder aux données personnelles de plusieurs millions de Français.

D'après les premières analyses, le fichier contient très exactement 22 445 764 lignes d'enregistrements. Il s'agit vraisemblablement d'un historique cumulatif sur plusieurs années, chaque allocataire pouvant apparaître à plusieurs reprises dans la base. Après dédoublonnage, les estimations varient entre 3,5 millions de foyers uniques et jusqu'à 8,6 millions de personnes distinctes touchées. Un nombre colossal qui confirme le caractère critique de l'incident pour la vie privée en France. Le chercheur Anis Ayari, qui a procédé au nettoyage de l'archive, évoque ainsi 8,6 millions de personnes concernées après élimination des doublons.

Plusieurs spécialistes ont rapidement scruté un échantillon des données pour en vérifier la véracité. Le verdict est sans appel : les informations semblent cohérentes et valides, correspondant à de véritables allocataires de la CAF. En clair, il ne s'agit pas d'un faux : la fuite est bien réelle et les données authentiques. De surcroît, les auteurs du leak ont déclaré avoir également obtenu un accès à d'autres systèmes publics majeurs, citant notamment la Direction générale des Finances publiques (impôts) et la Caisse nationale d'assurance vieillesse (retraites), mais aucune confirmation officielle n'existe à ce stade sur ces allégations annexes.

Intrusion directe ou faille externe ? La piste du Pass'Sport

Face à l'annonce de cette cyberattaque, la réaction de l'organisme visé ne s'est pas fait attendre. La Caisse nationale des Allocations familiales (Cnaf) a affirmé dès le lendemain qu'aucune intrusion n'avait été constatée dans son propre système d'information. Autrement dit, selon la Cnaf, les hackers n'ont pas pénétré les serveurs de la CAF elle-même. Alors, d'où proviennent ces millions de données ?

Selon le communiqué officiel et les premiers éléments de l'enquête interne, les données diffusées semblent provenir du système d'information d'un partenaire public avec lequel la CAF échange des informations. Très vite, l'attention s'est portée sur un dispositif en particulier : le Pass'Sport. En effet, plusieurs experts en cybersécurité ont pointé du doigt cette aide nationale à la pratique sportive comme la source potentielle de la brèche.

Le Pass'Sport, maillon faible identifié

Le Pass'Sport est un programme géré par le ministère des Sports, offrant une aide financière (50 à 70 € par jeune éligible) pour l'inscription dans un club sportif. Or, sa mise en œuvre implique un croisement de bases de données provenant de plusieurs organismes : la CAF, mais aussi la Mutualité sociale agricole (MSA, régime agricole) et le CNOUS (étudiants). Ce détail est crucial car le fichier publié par Indra contient précisément un tel mélange de bénéficiaires CAF/MSA/CNOUS, identifiable notamment via la présence d'un identifiant spécifique (id_psp) dans chaque entrée. Seul le dispositif Pass'Sport génère ce type de fichier agrégé, ce qui oriente fortement les soupçons vers une fuite au niveau de ce programme.

En clair, la CAF n'aurait pas été « piratée » directement. Les hackers auraient exploité une faille ou des accès compromis dans le système du Pass'Sport pour extraire en masse les données combinées d'allocataires. Cette hypothèse expliquerait pourquoi la CAF elle-même ne détecte aucune trace d'intrusion dans ses logs : l'attaque se serait produite en dehors de son périmètre direct, au niveau d'un service partenaire interconnecté. À ce stade, la Cnaf assure d'ailleurs qu'« aucune atteinte technique » n'a été trouvée dans les flux d'échange de données entre organismes. Le ministère des Sports (pilote du Pass'Sport) n'a pas encore communiqué sur le sujet et n'avait pas donné suite aux sollicitations des journalistes au moment de la révélation de l'affaire.

Quelles données personnelles ont fuité ?

Plusieurs catégories d'informations sensibles figurent dans la base dérobée, permettant une identification très précise des allocataires concernés :

  • Identité complète : nom et prénom de chaque allocataire (et possiblement des personnes rattachées, comme les enfants).
  • Coordonnées : adresse postale, adresse email et numéro de téléphone. Ces données de contact couvrent un large éventail de la population (parents, enfants, étudiants, etc.), témoignant de l'ampleur de la fuite.
  • Informations personnelles administratives : date de naissance de chaque allocataire ou ayant-droit, ainsi que des identifiants spécifiques comme le numéro INE (Identifiant National Élève/Étudiant, pour les enfants scolarisés ou étudiants rattachés). On trouve également les numéros d'allocataire et matricules CAF qui identifient chaque dossier dans le système.
  • Indicateurs internes : un champ présent dans les enregistrements fait référence à une éventuelle « récidive » vis-à-vis des organismes sociaux. S'il est avéré, ce champ pourrait indiquer par exemple qu'un allocataire a déjà été sanctionné ou signalé par le passé (une donnée particulièrement sensible si elle est correcte).

Il est important de noter que certaines données cruciales ne figurent pas dans cette fuite. En particulier, la Cnaf a confirmé qu'aucune donnée bancaire ni mot de passe n'avait été compromise. Les coordonnées IBAN, informations de paiement ou les mots de passe d'accès à l'espace personnel Mon Compte de la CAF ne sont donc pas dans le lot. Une distinction majeure par rapport à d'autres brèches plus critiques. De plus, la CAF rappelle que l'accès à l'espace en ligne nécessite désormais une double authentification (vérification par code SMS en plus du mot de passe), ce qui constitue un rempart supplémentaire pour empêcher toute connexion frauduleuse aux comptes des usagers.

Indra : le groupe de hackers derrière l'attaque

Derrière le pseudonyme Indra se cache un groupe de pirates déjà tristement célèbre sur la scène française. Quelques jours avant de s'en prendre à la CAF, ce même collectif avait revendiqué l'intrusion dans les serveurs du ministère de l'Intérieur, dérobant au passage des fichiers de police contenant des données sur 16,4 millions de personnes (notamment issues du TAJ et du FPR, les fichiers des antécédents judiciaires et des personnes recherchées). Les deux attaques, ministère de l'Intérieur et CAF, présentent des similarités troublantes : elles ont été divulguées sur le même forum, à quelques jours d'intervalle, et revendiquées dans les deux cas par Indra comme une forme de représailles envers l'État.

Représailles et provocation

En effet, Indra affirme agir « en représailles » à des opérations menées par les autorités françaises plus tôt dans l'année. En juin 2025, cinq individus (dont quatre Français connus sous les pseudonymes ShinyHunters, Hollow, Noct et Depressed, ainsi qu'un Britannique alias IntelBroker) avaient été interpellés, suspectés d'être des administrateurs de forums de revente de données volées. Indra, qui serait lié à ces milieux, aurait décidé de frapper fort en diffusant massivement des données sensibles, comme pour montrer que la « récréation » n'était pas terminée malgré les arrestations. Selon leurs dires, les fuites de la CAF et du ministère de l'Intérieur, présentées comme des « cadeaux » ironiques, seraient une réponse directe à ces coups de filet policiers.

Ironie du sort, l'affaire a connu un rebondissement le jour même de la fuite CAF : un jeune homme de 22 ans a été arrêté et placé en garde à vue le 17 décembre, suspecté d'être impliqué dans le piratage du ministère de l'Intérieur. L'interpellation, réalisée à Limoges, a eu lieu quelques heures à peine avant la publication des données de la CAF en fin de journée. Ce timing soulève la question d'un éventuel acte de défi : la diffusion du fichier CAF pourrait-elle avoir été déclenchée en réaction à l'arrestation de ce suspect ? Pour l'heure, les enquêteurs n'ont pas confirmé le lien entre le jeune homme interpellé et le groupe Indra, et l'enquête se poursuit pour identifier avec certitude les auteurs de ces attaques coordonnées.

Indra ne s'est pas contenté de s'attaquer à la CAF et à la Place Beauvau. Dans son message sur le forum, le groupe prétend également avoir compromis d'autres administrations françaises : il cite en particulier la DGFIP (les impôts) et la CNAV (assurance retraite) comme prochaines victimes potentielles. Ces affirmations n'ont pour l'instant pas été vérifiées ni accompagnées de preuves concrètes, mais elles contribuent à installer un climat de pression sur les pouvoirs publics. Indra joue ainsi la carte d'une menace diffuse : faire savoir qu'il dispose peut-être d'accès dans plusieurs systèmes critiques, sans révéler ses cartes tout de suite.

Un mode opératoire révélateur

Le profil d'Indra et de ses membres reflète une cybercriminalité émergente qui inquiète les spécialistes. D'après des experts interrogés dans les médias, on retrouve souvent des hackers très jeunes, parfois autodidactes, agissant en petit groupe via des communautés en ligne (forums, Discord) et motivés autant par le gain financier que par la recherche de notoriété. Le vol et la diffusion de bases de données massives peuvent servir plusieurs desseins : monnayer les informations sur des places de marché clandestines, en tirer profit via des arnaques, ou, comme ici, s'en servir pour frapper les esprits dans une logique de défiance envers les institutions.

Il est à noter que les données volées dans ce type d'attaques alimentent un véritable marché noir de l'information. Des outils surnommés « look up » circulent notamment sur Discord et permettent, à partir d'un simple nom ou numéro, de retrouver quantité de renseignements sur une personne à l'aide de bases de données piratées croisées. Chaque « fiche » peut se revendre de 10 à 50 € selon le profil recherché. Dans ce contexte, disposer d'un fichier de 4 millions d'allocataires CAF constitue un butin de choix : même diffusé gratuitement à l'origine, il peut être recommercialisé ensuite par divers intermédiaires ou servir de monnaie d'échange entre cybercriminels. Indra, qu'il s'agisse d'un individu ou d'un collectif, apparaît ainsi comme un acteur opportuniste et provocateur, s'inscrivant dans la lignée de ces « petits pirates » qui montent en puissance et mettent en lumière les fragilités des systèmes informatiques étatiques.

Conséquences : des millions de personnes exposées aux arnaques

Du point de vue des allocataires concernés, les conséquences potentielles de cette fuite de données sont multiples et potentiellement sérieuses. Certes, les informations dévoilées ne permettent pas de siphonner directement des comptes bancaires ni de prendre contrôle d'un compte CAF en ligne (en l'absence de mots de passe). Il n'en demeure pas moins que la connaissance de ces données personnelles ouvre grand la porte à des attaques de social engineering extrêmement ciblées :

  • Hameçonnage (phishing) sur mesure : Les individus malintentionnés disposent désormais de nom, adresse, email, téléphone, date de naissance… Autant d'éléments pour envoyer des emails ou SMS frauduleux ultra-ciblés. Par exemple, un escroc pourrait envoyer un courriel se faisant passer pour la CAF, mentionnant précisément votre nom et votre date de naissance, afin de vous inciter à cliquer sur un faux lien ou à fournir des informations complémentaires. Le niveau de personnalisation possible rendra ces tentatives particulièrement crédibles et donc dangereuses.
  • Usurpation d'identité : Avec les données divulguées, un fraudeur peut tenter de se faire passer pour l'allocataire auprès de tiers (autres administrations, prestataires, etc.). Il pourrait, par exemple, essayer d'utiliser les informations pour ouvrir des comptes en votre nom (souscription de crédit, création d'une ligne téléphonique, etc.), ou accéder à d'autres services en se faisant passer pour vous si des procédures d'authentification faibles sont en place. Bien que les données en question ne comprennent pas les pièces d'identité ni la situation fiscale, l'usurpation partielle reste un risque à ne pas négliger.
  • Arnaques et détournements de prestations : Des escroqueries plus sophistiquées pourraient viser à détourner des allocations. Par exemple, un acteur malveillant connaissant vos informations pourrait tenter de contacter la CAF ou un autre organisme social en prétendant être vous, dans le but de modifier vos coordonnées bancaires de versement (et ainsi percevoir vos aides sociales). La CAF, consciente de ce danger, a d'ailleurs indiqué renforcer en urgence ses procédures de vérification d'identité sur ses plateformes téléphoniques. Plus largement, les données volées pourraient être utilisées pour monter des arnaques ciblant les allocataires (fausses propositions d'aides, faux contrôles Caf demandant un remboursement d'indu, etc.), en profitant de la confiance qu'inspire habituellement la connaissance de renseignements personnels précis.

En somme, phishing, tentatives d'escroquerie et usurpations diverses sont à prévoir dans le sillage immédiat de cette fuite. Les experts estiment que les allocataires touchés pourraient subir des campagnes malveillantes pendant des mois, voire des années suite à l'incident. En effet, une fois diffusées dans la nature, les données restent exploitables indéfiniment et peuvent réapparaître périodiquement au gré des reventes et échanges sur le Dark Web.

Il faut également garder à l'esprit que les informations exposées incluent celles de populations particulières (par exemple des mineurs via les numéros INE, ou des étudiants boursiers via le CNOUS). Ces publics pourraient faire l'objet de tentatives de fraude adaptées (faux emails relatifs à des bourses d'études, arnaques à l'inscription sportive, etc.). Le risque de démarchage abusif ou d'utilisation marketing illégale existe aussi : des sociétés peu scrupuleuses pourraient récupérer ces millions de contacts et tenter de les exploiter (spam téléphonique, phishing déguisé en offre promotionnelle, etc.).

Réponse et mesures de protection : que faire si vous êtes allocataire ?

Devant l'ampleur de la fuite, la CAF et les autorités encouragent vivement les personnes possiblement concernées à adopter une posture de vigilance accrue. Que vous soyez allocataire CAF actuel ou l'ayez été ces dernières années, il est recommandé de prendre les mesures suivantes sans attendre :

  • Redoubler de prudence face aux messages reçus : Méfiez-vous des emails ou SMS inattendus prétendant provenir de la CAF ou d'un organisme affilié. Soyez particulièrement vigilant aux courriels mal rédigés ou bourrés de fautes d'orthographe, et d'une manière générale ne cliquez sur aucun lien suspect dans un message, même s'il contient des informations personnelles correctes vous concernant (les escrocs les possèdent désormais). En cas de doute, contactez directement votre CAF via les canaux officiels connus.
  • Vérifier l'authenticité des sites web consultés : Si vous devez vous connecter à votre espace Mon Compte CAF ou à tout site lié aux allocations, assurez-vous qu'il s'agit bien du site officiel. L'adresse doit commencer par https://www.caf.fr et un cadenas de sécurité doit apparaître dans la barre de navigation. Évitez de passer par un lien reçu par email : tapez manuellement l'adresse du site ou utilisez l'application mobile officielle. De même, prenez garde aux sites frauduleux mimant la CAF (en cas de recherche Google, privilégiez le lien officiel caf.fr dans les résultats).
  • Sécuriser votre compte CAF : Changez immédiatement le mot de passe de votre compte en ligne Mon Compte sur caf.fr, par précaution. Optez pour un mot de passe unique et suffisamment complexe (que vous n'utilisez sur aucun autre service) et n'hésitez pas à le changer régulièrement. Activez également la double authentification (2FA) sur votre compte si ce n'est pas déjà fait : depuis le 10 décembre 2025, la CAF propose l'envoi d'un code par SMS à chaque connexion. Cette mesure, bien que mise en place après la fuite, ajoutera une couche de sécurité non négligeable pour empêcher les accès frauduleux.
  • Surveiller vos comptes et démarches : Dans les semaines et mois qui viennent, restez attentif à toute activité inhabituelle concernant vos finances ou vos interactions avec les services publics. Vérifiez régulièrement vos relevés bancaires pour détecter d'éventuels prélèvements ou transactions inconnus. Soyez également vigilant si vous êtes contacté pour des sujets touchant à vos prestations sociales ou démarches administratives. Par exemple, une tentative d'usurpation d'identité pourrait se traduire par la réception de courriers étranges, de notifications de création de comptes à votre nom, etc. Une vigilance prolongée est de mise.
  • Signaler tout comportement suspect : Si vous pensez être cible d'une tentative d'arnaque liée à cette fuite (appel téléphonique suspect se faisant passer pour la CAF, email frauduleux personnalisé, etc.), ne communiquez aucune information et signalez l'incident. Vous pouvez le faire auprès de votre CAF locale, déposer éventuellement plainte auprès de la gendarmerie ou police, et consulter la plateforme gouvernementale Cybermalveillance.gouv.fr pour être guidé dans les démarches appropriées. En informant les autorités, vous aiderez à endiguer les campagnes frauduleuses en cours et protéger d'autres allocataires potentiellement moins méfiants.

Par ailleurs, la loi impose que les organismes victimes d'une violation de données personnelles notifient l'incident à la CNIL (Commission Nationale Informatique et Libertés) sous 72 heures, et informent individuellement les personnes concernées des mesures à prendre. On peut donc s'attendre à recevoir, le cas échéant, une communication officielle de la CAF (ou de l'entité responsable du Pass'Sport) si vos données figurent dans la fuite. La Cnaf a d'ores et déjà annoncé collaborer avec les services publics partenaires impliqués pour avertir les bénéficiaires impactés et renforcer la sécurité des échanges de données.

Télécharger le jeu de données complet (JSON) pour analyse technique

Pour les professionnels de la cybersécurité souhaitant examiner la fuite en détail, nous mettons à disposition une archive JSON représentative des données exfiltrées. Attention : cette archive contient des données personnelles réelles d'allocataires, sa consultation doit donc être strictement réservée à un usage de recherche, d'analyse forensic ou d'élaboration d'indicateurs de compromission (IoC). Toute utilisation malveillante ou non autorisée de ces informations est illégale.

🔗 Fuite CAF - Données JSON :
Lien torrent : magnet:?xt=urn:btih:4546ecf0cb60069347f7253dbbb9251a3ffdf460&dn=caf.rar&tr=udp://tracker.openbittorrent.com:80/announce&tr=udp://tracker.opentrackr.org:1337/announce
Lien direct : https://utweb.rainberrytv.com/gui/share.html#link=magnet:?xt=urn:btih:4546ecf0cb60069347f7253dbbb9251a3ffdf460&dn=caf.rar&tr=udp%3a%2f%2ftracker.openbittorrent.com%3a80%2fannounce&tr=udp%3a%2f%2ftracker.opentrackr.org%3a1337%2fannounce

Lien de téléchargement

(Archive ~15 Go - utilisation strictement réservée à la recherche et à l'investigation incident.)

Points-clés à retenir

En résumé :

  • 22 millions de lignes de données personnelles (noms, coordonnées, etc.) ont été diffusées sur un forum criminel, affectant environ 4 millions d'allocataires de la CAF.
  • Le groupe de hackers Indra, déjà lié au piratage du ministère de l'Intérieur, a revendiqué l'attaque et la présente comme un « cadeau de Noël » aux Français.
  • La Cnaf dément toute intrusion directe dans ses systèmes : la fuite proviendrait d'une faille chez un organisme partenaire (le dispositif Pass'Sport du ministère des Sports) ayant permis d'exfiltrer des données partagées.
  • Les données exposées comprennent des informations sensibles (identité, contacts, identifiants administratifs) mais aucune donnée bancaire ni mot de passe. L'accès aux comptes en ligne CAF reste protégé par un dispositif de double authentification.
  • Les personnes concernées s'exposent à du phishing ciblé, des tentatives d'arnaque et d'usurpation d'identité. Ces risques peuvent perdurer pendant des mois, voire des années, du fait de la libre circulation de ces données volées.
  • Il est fortement conseillé aux allocataires de changer leur mot de passe CAF, d'activer la 2FA et de redoubler de vigilance face aux communications suspectes (emails, SMS, appels) se référant à leurs données personnelles.
  • Cet incident s'inscrit dans une série noire de cyberattaques visant les services publics français en 2025 (Intérieur, France Travail, etc.), révélant la nécessité de renforcer la sécurité des systèmes interconnectés et la protection des données citoyennes.

Conclusion : une alerte pour la protection des données publiques

La fuite massive de la base allocataires de la CAF en décembre 2025 marque un tournant préoccupant dans la cybersécurité des services publics français. Au-delà du cas particulier, elle met en lumière la fragilité des données personnelles dès lors qu'elles circulent entre plusieurs entités, la CAF et ses partenaires. Il ne suffit plus qu'un organisme sécurise son propre système d'information : il faut désormais garantir que l'écosystème complet (ministères, agences, dispositifs connexes) est protégé de bout en bout. Dans cette affaire, une aide a priori anodine comme le Pass'Sport a pu servir de point d'entrée pour compromettre des millions de dossiers sensibles.

Pour les citoyens, cet épisode est un rappel brutal que nos données, même confiées à des administrations centrales, peuvent se retrouver exposées. La confiance numérique entre l'État et les usagers en ressort ébranlée, à l'heure où chaque nouvelle cyberattaque fait la une. Il est donc impératif que les leçons de cet incident soient tirées : audits de sécurité des plateformes tierces, durcissement des protocoles d'échange de données entre organismes, amélioration de l'hygiène numérique du personnel (puisque nombre d'intrusions, comme celle du ministère de l'Intérieur, débutent par une simple erreur humaine) Parallèlement, une meilleure coordination des efforts de cybersécurité s'impose, davantage de moyens dédiés aux unités spécialisées, échanges d'informations entre entités publiques en cas de faille détectée, etc, pour contrer des attaquants certes modestes, mais de plus en plus audacieux.

En définitive, l'attaque d'Indra contre la CAF doit servir de réveil collectif. Du côté des pouvoirs publics, renforcer la sécurisation des données sociales et la surveillance des forums clandestins n'est plus une option, mais une nécessité urgente. Du côté des usagers, une culture de vigilance numérique doit être encouragée : la sensibilisation aux risques (hameçonnage, vols d'identité) est plus que jamais d'actualité. Ce n'est qu'au prix de cette double prise de conscience, institutions et citoyens, que l'on pourra espérer limiter les dégâts des prochaines cyberattaques. Car il y en aura d'autres. Reste à transformer l'épreuve actuelle en opportunité pour améliorer structurellement la résilience de nos systèmes et pratiques. En ce sens, chaque organisme gérant des données sensibles ferait bien de considérer cette affaire comme un stress-test grandeur nature, et d'agir en conséquence pour éviter de se retrouver, demain, à la place de la CAF.

Dernière mise à jour : 19 décembre 2025 - Tous les détails techniques et mesures évoqués ont été vérifiés d'après les informations disponibles à cette date. Des modifications pourront être apportées en fonction des évolutions de l'enquête et des communications officielles.

Ready to build your next product together?

I'm available for full-time roles & freelance projects.

Ce que révèle la fuite massive de données personnelles de la CAF de décembre 2025 | Download by Kellis Le Louër