Le 27 février 2026, une nouvelle fuite de données a été signalée concernant la CAF — Caisse d’allocations familiales, organisme public chargé de la gestion des prestations sociales en France. Cette fuite affecte notamment les personnes bénéficiant du Revenu de Solidarité Active (RSA), relançant le débat sur la cybersécurité des systèmes interconnectés de l’administration publique. L’incident met en lumière les difficultés persistantes à sécuriser des données personnelles extrêmement sensibles malgré les dispositifs existants.
Une nouvelle faille : un service public partenaire concerné
La fuite de données récemment révélée a été confirmée par la DINUM (Direction interministérielle du Numérique), l’entité publique responsable de la gestion numérique des données entre services, dont ceux de la CAF. Selon un communiqué interne adressé aux personnes concernées, une violation de données à caractère personnel s’est produite en janvier 2026 dans le cadre d’un accès non autorisé à certains dossiers des allocataires du RSA. Cette information a été relayée par le chercheur en cybersécurité Clément Domingo via son compte sur le réseau social X et reprise par plusieurs médias spécialisés.
Contrairement à une attaque directement menée contre les systèmes internes de la Caisse nationale d’allocations familiales (CNAF), c’est l’un des services publics partenaires qui aurait été compromis, entraînant l’accès à des données issues des échanges avec la CAF. Parmi les informations potentiellement accessibles par les acteurs malveillants figuraient notamment :
- le matricule allocataire,
- le numéro de sécurité sociale,
- les données de contact liées à la demande de RSA,
- les noms et prénoms du bénéficiaire et du responsable de dossier,
- les dates de début et de demande de droits,
- le numéro de téléphone et l’adresse électronique.
Ces éléments constituent des données à haute sensibilité, car ils permettent une identification directe des personnes et peuvent servir de base à des attaques ciblées comme l’usurpation d’identité ou l’hameçonnage.Selon 01net, « aucune donnée bancaire ou mot de passe n’a été compromis dans cette fuite » et l’organisme précise que l’incident « n’a aucun impact sur le droit au RSA ou la date de paiement » des allocataires concernés.
Données personnelles exposées : quelles conséquences pour les allocataires ?
Les données compromises, bien que non financières, restent extrêmement sensibles. Comme l’explique le chercheur Clément Domingo, relayé dans le mail de la DINUM, il faut s’attendre à « une recrudescence d’arnaques » à l’encontre des personnes dont les informations ont été exposées.
Ce type d’exposition n’est pas anodin : un numéro de sécurité sociale, associé à un nom et une adresse, constitue déjà une base suffisante pour des tentatives d’usurpation d’identité, d’appels frauduleux ou de campagnes de phishing ultra-ciblées. Des cybercriminels peuvent exploiter ces données pour se faire passer pour un agent de la CAF ou d’un autre service social, demander des informations complémentaires ou manipuler les victimes à des fins financières ou d’escroqueries.
Les personnes touchées par cette fuite n’ont pas encore été toutes identifiées publiquement, et la DINUM n’a pas communiqué de nombre précis de dossiers concernés. Cependant, Les Numériques souligne que cette nouvelle fuite intervient dans un contexte où la sécurité des données publiques est particulièrement mise à l’épreuve, après de multiples incidents similaires survenus chez d’autres institutions ou services publics.
Pourquoi la CAF reste-t-elle vulnérable en cybersécurité ?
Pour comprendre cette vulnérabilité, il faut replacer l’incident dans un contexte de sécurité numérique déjà fragilisé. En décembre 2025, un autre dossier de la CAF avait fait grand bruit après la publication de millions de lignes de données personnelles sur un forum de hackers. D’après plusieurs experts en sécurité, ce fichier, qui contenait plus de 22 millions de lignes correspondant aux informations de près de 4 millions d’allocataires, provenait non pas directement des systèmes internes de la CAF, mais d’un système public dont la CAF est dépendante pour certaines prestations.
Dans ce cas particulier, l’organisme public avait fermement nié toute intrusion directe sur ses propres systèmes, affirmant dans un communiqué officiel que « contrairement aux affirmations relayées par ce groupe, aucune intrusion ni faille n’a été détectée dans nos systèmes ». La CAF avait précisé que « les éléments diffusés semblent provenir du système d’information d’autres services publics avec lesquels la Cnaf échange des données ».
L’incident de décembre dernier soulignait déjà un point majeur : l’interdépendance des organismes publics français via des interfaces numériques constitue une surface d’attaque plus large que chaque système pris isolément. Lorsqu’un partenaire disposant d’accès légitimes à certaines données est compromis, les informations transitant entre ces systèmes peuvent être détournées, sans que le système central (ici celui de la CAF) soit directement touché. Cette exposition des interfaces de communication et des plateformes partenaires représente un risque systémique pour la sécurité des données sociales.
