Résumé de la Fuite
| Date de la Fuite | Non spécifié |
|---|---|
| Date de Découverte | 17 décembre 2025 |
| Type d'information récupérée | Nom et prénom des allocataires, Adresse postale complète, Adresse e-mail, Numéro de téléphone, Date de naissance, Numéro INE (Identifiant National Élève) des enfants ou personnes rattachées au dossier, Matricules et identifiants CAF, Données relatives aux dispositifs Pass'Sport (bénéficiaires CAF - MSA - CNOUS) |
| Nombre de Comptes Affectés | ~ 5 millions de personnes uniques (bien que la base contienne 22 445 764 lignes, il existe de nombreux doublons) |
| Pays |
🇫🇷 France |
| Gravité | Critique |
| Origine de la Fuite | Inconnue |
Vérifiez si votre email a été compromis
Entrez votre adresse e-mail ci-dessous pour savoir si elle a été impliquée dans des fuites de données.
Détails de l'Incident
Le 19 décembre 2025, le ministère des Sports, de la Jeunesse et de la Vie associative a confirmé une exfiltration de données provenant de l'un de ses systèmes d'information. Les pirates informatiques ont mis en ligne sur BreachForums une base de données massive comprenant 22 445 764 lignes d'informations personnelles datant de septembre 2024 à novembre 2025. Les hackers ont qualifié cette fuite de "cadeau de Noël pour la France". Le fichier compromis, pesant plus de 15 Go, correspond au dispositif Pass'Sport qui croise les données des bénéficiaires de la CAF, de la MSA (régime agricole) et du CNOUS (étudiants). Cette attaque s'inscrit dans une série de cyberattaques contre l'État français, incluant le piratage du ministère de l'Intérieur quelques jours auparavant. La CAF a démenti avoir été directement piratée, confirmant que ses systèmes n'ont pas été compromis et que la fuite provient des systèmes du ministère des Sports.
Chronologie de l'incident
- Découverte : 17 décembre 2025
- Action de Sécurisation : Mobilisation des équipes techniques spécialisées pour faire cesser toute fuite de données, mise en œuvre de mesures de sécurité adaptées, dépôt de plainte auprès des autorités compétentes, saisine de la CNIL sous 72 heures conformément au RGPD. Un travail est en cours pour informer les 3,5 millions de foyers concernés et leur partager les recommandations et consignes de sécurité à suivre. Les autorités recommandent également aux personnes touchées de : modifier immédiatement leurs mots de passe, activer la double authentification sur leurs comptes CAF et Pass'Sport, surveiller régulièrement leurs comptes pour détecter toute activité suspecte.
- Résolution Prévue : Enquête judiciaire en cours, saisine de la CNIL prévue sous 72 heures, renforcement des mesures de sécurité sur les systèmes d'information du ministère des Sports. Les équipes techniques travaillent à identifier la faille exploitée et à sécuriser le dispositif Pass'Sport. Information progressive des 3,5 millions de foyers concernés avec partage des consignes de sécurité.
Impact
| Type de Données | Données personnelles, Données de contact, Identifiants de connexion, Données professionnelles, Informations de localisation, Autres données sensibles |
|---|---|
| Impact Potentiel | Usurpation d'identité massive. Phishing ciblé et arnaques sophistiquées se faisant passer pour la CAF ou le ministère des Sports. Fraude aux allocations (détournement de prestations par modification des coordonnées bancaires). Exploitation des données d'enfants et de mineurs (via numéros INE). Arnaques par faux conseillers CAF ou Pass'Sport. Risques d'accès frauduleux aux comptes en ligne. Compromission de l'écosystème Pass'Sport et des inscriptions sportives. Harcèlement téléphonique et par e-mail ciblé. Perte de confiance dans les systèmes d'information de l'État. |
| Qui est touché ? | Environ 5 millions de personnes. Allocataires de la CAF (adultes et parents) Enfants et mineurs rattachés aux dossiers (via numéros INE). Étudiants bénéficiaires du CNOUS. Bénéficiaires du régime agricole. MSA Familles inscrites au dispositif Pass'Sport. |
Mesures de Protection
- Modifiez immédiatement vos mots de passe CAF et Pass’Sport : Utilisez des mots de passe uniques d’au moins 12 caractères combinant majuscules, minuscules, chiffres et symboles. Ne réutilisez jamais ces mots de passe sur d’autres services en ligne.
- Activez la double authentification (2FA) sur tous vos comptes : Connectez-vous à votre compte CAF et activez l’authentification à deux facteurs pour ajouter une couche de sécurité supplémentaire, même si vos identifiants sont compromis.
- Ne répondez à aucun contact suspect par e-mail, SMS ou téléphone : La CAF et le ministère des Sports ne vous demanderont JAMAIS vos identifiants, mots de passe ou coordonnées bancaires par e-mail ou SMS. En cas de doute, contactez directement ces organismes via leurs sites officiels.
FAQ
- Comment savoir si mes données ont été compromises dans cette fuite Pass'Sport ? Si vous ou vos enfants avez bénéficié du Pass'Sport entre 2022 et 2025, ou si vous êtes allocataire de la CAF, étudiant du CNOUS ou affilié à la MSA, vos données ont potentiellement été exposées. Le ministère des Sports travaille à informer les 3,5 millions de foyers concernés dans les meilleurs délais. Soyez vigilant face aux e-mails et messages suspects prétendant provenir de la CAF ou du ministère des Sports. Ne cliquez jamais sur les liens reçus par e-mail ; connectez-vous directement sur les sites officiels caf.fr et sports.gouv.fr.
- Quelle est la différence entre cette fuite et le piratage de la CAF ? Contrairement aux premières informations, la CAF n'a pas été directement piratée. Le 18 décembre 2025, la Caisse nationale des Allocations familiales a publié un communiqué confirmant qu'aucune intrusion ni faille n'a été détectée dans ses systèmes. Les données compromises proviennent en réalité du système d'information du ministère des Sports qui gère le dispositif Pass'Sport. Ce système centralise les données de trois organismes (CAF, MSA, CNOUS) pour attribuer les aides sportives, et c'est lui qui a été compromis, pas la CAF directement.
- Cette attaque est-elle liée aux autres piratages récents contre l'État français ? Oui, cette fuite s'inscrit dans une série de fuites coordonnées contre l'État français menées par les utilisateurs de Breach Forums. Quelques jours avant cette fuite, le ministère de l'Intérieur avait été piraté, avec des revendications portant sur l'accès au fichier TAJ (traitement des antécédents judiciaires) et au FPR (fichier des personnes recherchées). Les pirates présentent ces attaques comme des représailles suite à l'arrestation d'un hacker de 22 ans à Limoges en lien avec l'enquête sur l'accès malveillant aux systèmes du Ministère de l'intérieur. Cette vague d'attaques révèle une vulnérabilité importante des systèmes d'information de l'État français.
À propos de l'auteur
Section Légale et Communication
Pour plus d'informations, contactez-nous via : redaction@funinformatique.com
Avis de non-responsabilité : Les informations partagées sur cette page sont fournies à titre informatif uniquement. L'entreprise décline toute responsabilité pour toute action prise à partir de ces données.
Sources
- Communiqué officiel CNAF Twitter/X (18 décembre 2025)