Les données personnelles d’1,2 million de salariés de particuliers employeurs ont été piratées du service géré par l’Urssaf.
Les numéros de Sécurité sociale pourraient être rapidement exploités.

Géré par l’Urssaf, le service Pajemploi est venu ce lundi s’ajouter à une longue liste de victimes. « Les données à caractère personnel potentiellement extraites sont les noms, prénom, date et lieu de naissance, adresse postale, numéro de Sécurité sociale, nom de l’établissement bancaire, numéro Pajemploi et numéro d’agrément », liste l’Urssaf.

Même si aucune coordonnée bancaire utile ne fait partie du butin, ces données fournissent une matière première raffinée aux cybercriminels spécialisés dans le « phishing » ou le « smishing ». En particulier, le numéro de Sécurité sociale, une information très personnelle prisée des escrocs partout sur la planète.

« Nous sommes un des rares pays dans le monde à lui conférer ce niveau d’identification et c’est donc un élément unique et très utilisé pour mener des démarches administratives », met en perspective Éric Barbry, avocat spécialisé en numérique au cabinet Racine. « Comme pour un RIB, ce sont des données personnelles qui sont toujours à jour car elles ouvrent la voie à des prestations sociales et à des paiements contrairement à un vieux compte sur un réseau social peu utilisé », complète Benoît Grunenwald, expert en cybersécurité chez Eset.

Un éventail d’arnaques en ligne possibles

Que pourraient en faire des esprits mal intentionnés ? L’Urssaf recommande « de faire preuve d’une vigilance renforcée face au risque de courriels, SMS ou appels frauduleux ». Le premier risque pour le 1,2 million de personnes concernées est de venir s’ajouter à des bases de données déjà en circulation sur le dark web ou de compléter leur profil avec un élément manquant.


Chaque usager de Pajemploi concerné sera prévenu individuellement mais peu de recours concrets existent pour la victime potentielle. « L’article 82 du Règlement général sur la protection des données (RGPD) prévoit une réparation du préjudice à commencer par le préjudice moral ou psychologique que pourrait être la simple peur de voir ses données divulguer », rappelle l’avocat Éric Barbry.

Il faudrait pour cela porter l’affaire devant les tribunaux dans le cadre d’une action de groupe et pouvoir prouver le préjudice effectif. Mais dans les faits, l’entreprise ou l’agence étatique sortent rarement le chéquier pour dédommager.

Source : Le Parisien https://www.leparisien.fr/high-tech/vol ... 5LCB4Y.php

Que doit on faire ??