L’Urssaf confirme un accès non autorisé à l’API de déclaration préalable à l’embauche, exposant potentiellement les données de millions de salariés récemment embauchés.
Une API sensible, un usage légitime détourné
L’alerte n’est pas anodine. L’API « Déclaration préalable à l’embauche » est un rouage critique des échanges entre l’Urssaf et ses partenaires institutionnels. Elle donne accès à des informations structurantes du parcours professionnel : identité du salarié, date de naissance, Siret de l’employeur et date d’embauche. Des données certes partielles, mais suffisantes pour nourrir des scénarios de fraude, d’ingénierie sociale ou de recoupement à grande échelle.
Selon les éléments communiqués, les données consultées concerneraient les salariés embauchés depuis moins de trois ans. Aucun numéro de Sécurité sociale, aucune coordonnée bancaire ou de contact ne seraient impliqués. Une précision importante, mais qui ne suffit pas à relativiser l’incident.
Le maillon faible n’était pas l’Urssaf
Les premières investigations convergent vers un scénario désormais classique : l’accès frauduleux aurait été réalisé via un compte partenaire légitime, dont les identifiants avaient été compromis lors d’une cyberattaque antérieure visant ce partenaire. Autrement dit, l’API a fonctionné comme prévu. Ce sont les conditions d’accès qui ont été détournées.
L’Urssaf insiste sur un point clé : ses propres systèmes d’information n’ont pas été compromis. Un élément de langage, certes, mais aussi une réalité technique qui renvoie la responsabilité du risque vers l’écosystème et la chaîne de confiance.
Ce type d’incident illustre parfaitement la bascule actuelle : la surface d’attaque ne se situe plus uniquement dans le cœur du SI, mais dans les identités, les habilitations et les connexions inter-organisationnelles. Les API, devenues indispensables à la fluidité des services publics numériques, héritent mécaniquement des faiblesses de leurs consommateurs.
Gestion des accès : un sujet toujours sous-estimé
La suspension immédiate du compte compromis et le renforcement des mécanismes de protection annoncés vont dans le bon sens. Mais l’épisode interroge plus largement la gouvernance des accès partenaires : rotation des identifiants, authentification forte, segmentation des droits, surveillance comportementale des appels API.
Dans un contexte où les attaques par vol d’identités techniques se multiplient, la simple possession d’un couple identifiant-mot de passe ne peut plus constituer un sésame suffisant. La question n’est plus de savoir si un partenaire sera compromis, mais quand, et avec quel impact systémique.
Transparence réglementaire et suites judiciaires
Conformément aux obligations en vigueur, l’Urssaf a notifié l’incident à la Commission nationale de l’informatique et des libertés et à l’Agence nationale de la sécurité des systèmes d’information, tout en déposant plainte auprès du procureur de la République. Une démarche attendue, qui inscrit l’événement dans un cadre de gestion de crise désormais bien rodé. Reste à savoir quelles recommandations émergeront de ces signalements, et si elles se traduiront par un durcissement des exigences imposées aux partenaires accédant à des API publiques sensibles.
Un incident loin d’être isolé. L’accès frauduleux à l’API de l’Urssaf fait écho à d’autres intrusions récentes touchant des organismes publics et des infrastructures critiques, où la compromission initiale ne résulte pas toujours d’une faille technique sophistiquée, mais d’un usage imprudent des accès, d’identités mal protégées ou d’une confiance excessive accordée à l’écosystème. De Pajemploi au ministère de l’Intérieur, les mêmes constantes reviennent : une chaîne de responsabilité fragmentée, des mécanismes d’habilitation insuffisamment surveillés et une difficulté persistante à restaurer la confiance numérique une fois l’incident révélé.
