SFR et la Caisse d’allocations familiales (CAF) viennent d’illustrer, à quelques heures d’intervalle, la matérialité d’un risque longtemps perçu comme abstrait : la cyberattaque à grande échelle, avec exposition directe des données personnelles de millions de Français. Dans les deux cas, les bases de données visées n’étaient pas de simples annuaires, mais des briques essentielles de la vie quotidienne, allant des coordonnées de contact aux informations relatives à la situation familiale ou contractuelle.
SFR ciblé, données d’abonnés exposées
Selon SFR, une intrusion a visé un outil dédié à la gestion des interventions de raccordement sur le réseau fixe, utilisé par des prestataires techniques. L’opérateur évoque un « nombre indéterminé » de clients, mais plusieurs sources évoquent potentiellement plusieurs millions d’abonnés concernés, sans précision officielle à ce stade.
Les données compromises incluraient notamment nom, prénom, adresse postale, adresse e‑mail, numéro de téléphone et références clients, autant d’éléments pouvant alimenter des campagnes de phishing ciblées. SFR affirme en revanche qu’aucune donnée bancaire n’aurait été subtilisée dans cet incident précis, contrairement à une précédente fuite de 2024 où des IBAN avaient circulé sur le dark web.
CAF : une fuite massive et inédite
La CAF fait face à un piratage d’ampleur inédite, avec la diffusion sur un forum criminel d’un fichier de plus de 15 Go, contenant plus de 22 millions de lignes d’informations issues de ses bases. Derrière ces lignes se cachent les données de plusieurs millions d’allocataires, soit plus de la moitié du public potentiellement concerné, selon les premières estimations.
Les informations exfiltrées couvriraient des identifiants, des coordonnées et des éléments relatifs à la situation familiale et sociale, sensibles par leur caractère cumulatif, même si les premières déclarations publiques indiquent que les coordonnées bancaires n’auraient pas été directement accessibles. Cet épisode intervient après d’autres attaques en 2024, notamment une campagne revendiquant 600 000 comptes ciblés par le groupe LulzSec, déjà centrée sur la réutilisation de mots de passe.
Racines d’une crise de confiance numérique
Ces attaques s’inscrivaient dans une tendance lourde où les télécoms, les organismes sociaux et les grandes enseignes voyaient leurs systèmes testés en continu par des groupes criminels. Les fuites successives chez SFR, après celles de 2024 et 2025 portant sur des millions d’enregistrements vendus sur le dark web, laissaient présager une pression croissante sur la sécurité des opérateurs d’importance vitale.
Du côté de la CAF, les précédents incidents avaient déjà conduit à renforcer l’authentification et la surveillance des connexions, sans empêcher la circulation de nouveaux fichiers massifs en cette fin d’année. Pour nombre d’usagers, l’idée même de « compte en ligne sécurisé » se voyait ainsi questionnée, à mesure que l’agrégation de données facilitait l’usurpation d’identité et la fraude sociale.
Réactions officielles et enjeux pour les usagers
Dans les deux dossiers, les organismes ont indiqué avoir saisi la CNIL et les autorités compétentes, conformément au règlement européen sur la protection des données personnelles (RGPD). Des notifications aux personnes potentiellement concernées, par courrier ou courrier électronique, sont en cours ou annoncées, afin de rappeler les risques de phishing et les réflexes à adopter.
Les autorités de contrôle rappellent que les entreprises et organismes publics restent responsables de la sécurité des données qu’ils traitent, même lorsqu’un prestataire externe ou un outil tiers est ciblé. Au‑delà d’éventuelles sanctions, l’enjeu est la restauration d’un climat de confiance, alors que les services numériques sont devenus l’interface quasi exclusive avec de nombreux services essentiels.
Quels réflexes pour les personnes concernées ?
Les spécialistes de la cybersécurité recommandent de se méfier de tout message se présentant comme émanant de SFR ou de la CAF, surtout en cas de demande urgente de paiement ou de validation de coordonnées. Il est conseillé de vérifier l’authenticité des e‑mails, de ne jamais cliquer sur un lien reçu sans contrôle préalable et d’accéder aux espaces clients uniquement via les sites officiels ou les applications habituelles.
Le changement de mot de passe, l’activation de la double authentification lorsqu’elle est disponible, ainsi que la surveillance régulière de ses relevés bancaires et de ses démarches administratives figurent parmi les bonnes pratiques mises en avant. En cas de doute sérieux ou de tentative de fraude, un signalement aux plateformes dédiées et un dépôt de plainte sont également préconisés.
