Skip to content
Retour au blog
fuites-donnéescybersécuritédonnées-personnellesFrance

Pajemploi : 1,2 million de personnes exposées, du NIR aux coordonnées bancaires

En novembre 2025, le service Pajemploi de l'URSSAF a subi un vol de données touchant 1,2 million de salariés du particulier employeur. Numéros de Sécurité sociale, adresses, dates de naissance, et potentiellement des IBAN : retour sur une fuite dont la gravité a été sous-estimée.

Thomas Ferreira12 min de lecture

Le 18 novembre 2025, l'URSSAF publie un communiqué inhabituel. Son service Pajemploi -- la plateforme qui permet aux particuliers employeurs de déclarer et rémunérer assistants maternels et gardes d'enfants à domicile -- a été la cible d'un vol de données. Le chiffre avancé : 1,2 million de salariés potentiellement concernés.

L'organisme se veut rassurant. Pas d'IBAN compromis, assure-t-il. Pas d'adresse email, pas de mot de passe. Juste des données administratives. Six semaines plus tard, une base de données apparaît à la vente sur un forum du darknet. Elle contient exactement ce que l'URSSAF disait ne pas avoir perdu : des coordonnées bancaires, des emails, des numéros de téléphone. Et toujours les numéros de Sécurité sociale.

C'est l'histoire d'une fuite dont la gravité a été sous-estimée à chaque étape.

La découverte : l'ANSSI voit ce que l'URSSAF ne voit pas

Ce n'est pas l'URSSAF qui a découvert la fuite. C'est l'Agence nationale de la sécurité des systèmes d'information (ANSSI) qui, le 14 novembre 2025, a repéré des données issues de Pajemploi sur le darknet et a alerté l'organisme.

Ce détail n'est pas anecdotique. Il signifie que des informations personnelles de plus d'un million de personnes circulaient déjà dans des espaces accessibles aux cybercriminels avant même que l'URSSAF ne soit informée du problème. Le temps écoulé entre l'exfiltration réelle et la découverte par l'ANSSI reste inconnu.

Le jour même, l'URSSAF notifie la CNIL et l'ANSSI, conformément à ses obligations. Une plainte pénale est déposée auprès du procureur de la République. Les équipes internes sont mobilisées.

Quatre jours plus tard, le 18 novembre, l'organisme publie un communiqué officiel. Le ton est factuel, cadré. L'URSSAF parle d'un « vol de données » qui « a pu concerner jusqu'à 1,2 million de salariés ».

Les données en jeu : la combinaison la plus dangereuse

Voici ce que l'URSSAF a confirmé comme potentiellement compromis :

  • Nom et prénom
  • Date et lieu de naissance
  • Adresse postale
  • Numéro de Sécurité sociale (NIR)
  • Nom de l'établissement bancaire
  • Numéro Pajemploi
  • Numéro d'agrément

L'URSSAF a affirmé dans sa communication initiale qu'aucun IBAN, aucune adresse email, aucun numéro de téléphone et aucun mot de passe n'étaient concernés.

Pourquoi le NIR change tout

Le numéro de Sécurité sociale est un identifiant à part. Contrairement à un mot de passe, il ne se réinitialise pas. Contrairement à un IBAN, il ne se change pas en appelant sa banque. Le NIR vous suit de la naissance à la mort. C'est votre clé d'accès aux remboursements de soins sur Ameli.fr, aux prestations de la CAF, aux démarches fiscales, à votre dossier retraite.

Un attaquant qui possède votre nom, votre date de naissance, votre adresse et votre NIR détient le kit complet de l'usurpation d'identité administrative. Il peut :

  • Créer de faux dossiers de crédit auprès d'organismes financiers
  • Souscrire des abonnements en votre nom
  • Se faire passer pour vous auprès d'Ameli, de la CAF, des impôts
  • Monter des arnaques au phishing ultra-ciblées en utilisant vos vraies informations pour gagner votre confiance

Avec 1,2 million de fiches contenant cette combinaison de données, les attaquants disposent d'une base d'une valeur considérable sur les marchés noirs.

Décembre 2025 : la fuite est plus grave que prévu

Fin décembre 2025, la situation prend une tournure que l'URSSAF n'avait pas anticipée publiquement.

Le 29 décembre, l'agence de presse Anadolu révèle qu'une base de données issue du piratage a été mise en vente sur un forum du darknet. L'annonce du vendeur mentionne un « full dump » de 689 415 lignes ciblant des assistants maternels (ASSMAT) et des gardes d'enfants à domicile (GED).

Le contenu annoncé de cette base contredit la communication initiale de l'URSSAF sur un point majeur : elle contiendrait des coordonnées bancaires partielles (IBAN/BIC), en plus des adresses email, des numéros de téléphone partiels, des numéros de Sécurité sociale et des dates d'agrément professionnel.

Si ces éléments se confirment, la gravité de la fuite change de nature. La combinaison NIR + IBAN, même partiel, constitue le couple d'informations le plus sensible qu'un attaquant puisse détenir sur une personne en France. Avec le NIR, on usurpe l'identité. Avec l'IBAN, on s'attaque directement au compte bancaire -- prélèvements frauduleux, mandats de prélèvement SEPA falsifiés.

Un ancien agent du renseignement intérieur, cité par Anadolu, a qualifié la fuite de « bien plus grave que prévu ».

L'URSSAF n'a pas publiquement confirmé ni infirmé ces nouvelles informations.

Le profil des victimes : des salariés vulnérables

La spécificité de cette fuite tient aussi à la population touchée. Pajemploi ne gère pas les déclarations de cadres du CAC 40. La plateforme concerne les assistants maternels et les gardes d'enfants à domicile -- des salariés du particulier employeur, souvent à temps partiel, aux revenus modestes, et massivement des femmes.

Ce sont des personnes qui, pour beaucoup, n'ont pas les réflexes numériques pour détecter une tentative de phishing sophistiquée. Des personnes qui, recevant un appel prétendument de « Pajemploi » ou de l'« URSSAF » mentionnant leur numéro d'agrément et leur vrai nom, auront toutes les raisons de faire confiance à leur interlocuteur.

Et les fraudeurs l'ont compris immédiatement. Dès les semaines suivant la fuite, l'URSSAF a dû émettre une alerte : des sociétés contactaient déjà des assistantes maternelles en prétendant les aider à sécuriser leurs données à la suite du vol. Une arnaque qui exploite directement la peur générée par la fuite pour soutirer d'autres informations.

L'URSSAF refuse de dire comment c'est arrivé

C'est l'un des aspects les plus troublants de cette affaire. Interrogée par LeMagIT sur les circonstances techniques de la violation, l'URSSAF a refusé d'expliquer comment la fuite avait pu survenir.

L'organisme s'est contenté d'indiquer avoir « pris des mesures pour sécuriser ses systèmes et empêcher toute nouvelle intrusion » et qu'une « enquête approfondie est en cours, menée avec l'ANSSI et les autorités compétentes ». Mais sur le vecteur d'attaque -- phishing ? faille applicative ? identifiants compromis ? accès partenaire détourné ? -- silence total.

Cette opacité pose un problème concret. Sans comprendre comment la brèche s'est ouverte, les personnes concernées ne peuvent pas évaluer si d'autres systèmes liés à leur compte Pajemploi sont également à risque. Et les autres organismes publics qui gèrent des données similaires ne peuvent pas vérifier s'ils sont exposés au même type d'attaque.

Deux mois plus tard : la deuxième fuite URSSAF

Le 19 janvier 2026, l'URSSAF annonce un deuxième incident. Cette fois, ce n'est pas Pajemploi : c'est l'API DPAE (Déclaration Préalable à l'Embauche), le système par lequel chaque employeur en France déclare ses nouvelles embauches.

Le bilan : 12 millions de salariés dont les données ont été aspirées via des identifiants volés à un partenaire institutionnel.

Deux fuites en deux mois. Deux systèmes différents. Deux méthodes différentes. Mais un même organisme, qui gère des données parmi les plus sensibles de la population française.

La fuite Pajemploi de novembre touchait 1,2 million de personnes avec des données extrêmement sensibles (NIR, coordonnées bancaires potentielles). La fuite DPAE de janvier touchait 12 millions de personnes avec des données moins critiques individuellement (nom, date de naissance, employeur, date d'embauche) mais d'une valeur d'enrichissement massive pour les bases de données volées.

Au total, en deux mois, les systèmes de l'URSSAF ont exposé les données de plus de 13 millions de personnes. C'est un Français sur cinq.

Les conséquences concrètes pour les victimes

Phishing ciblé

Les données Pajemploi permettent de construire des messages frauduleux d'une précision redoutable. Un SMS qui mentionne votre numéro d'agrément, un email de la « CPAM » qui cite votre NIR, un appel de votre « banque » qui connaît votre nom et votre adresse : ce ne sont pas des scénarios hypothétiques. Ce sont les conséquences directes et prévisibles de cette fuite.

L'ANSSI estime que les données d'identification personnelle de ce type permettent de multiplier par 10 le taux de réussite du phishing par rapport à des campagnes génériques.

Usurpation d'identité administrative

Le NIR est la clé de voûte de l'identité administrative en France. Avec ce numéro et les informations d'état civil associées, un fraudeur peut tenter de :

  • Créer un compte Ameli à votre nom pour détourner des remboursements
  • Ouvrir des droits à des prestations sociales
  • Souscrire des crédits ou des abonnements
  • Déposer de fausses déclarations fiscales

Les victimes mettent souvent des mois à découvrir ces fraudes, et des années à en réparer les conséquences.

Prélèvements bancaires frauduleux

Si les IBAN partiels de la base mise en vente s'avèrent exploitables, le risque de prélèvements SEPA frauduleux est réel. Un prélèvement SEPA peut être initié avec un IBAN et un mandat falsifié. La victime dispose certes d'un droit de contestation de 13 mois, mais encore faut-il détecter le prélèvement à temps.

Ce que vous devez faire si vous êtes concerné

Contactez l'équipe Pajemploi. Une adresse email et un numéro de téléphone dédiés ont été mis en place : pajemploi.donnees.personnelles@urssaf.fr et 0809 541 896 (service gratuit + prix d'appel).

Surveillez vos comptes bancaires. Vérifiez chaque prélèvement. Signalez immédiatement tout mouvement que vous ne reconnaissez pas à votre banque. Demandez à votre conseiller de mettre en place une alerte sur les nouveaux mandats de prélèvement.

Ne répondez à aucune sollicitation non sollicitée. L'URSSAF, Pajemploi, votre banque, la CNIL : aucun de ces organismes ne vous demandera jamais de communiquer des informations personnelles par téléphone, SMS ou email. Si quelqu'un vous appelle en citant votre numéro d'agrément ou votre NIR pour « vérifier votre identité », raccrochez.

Déposez plainte si vous constatez une fraude. En cas d'utilisation frauduleuse de vos données, déposez une plainte et signalez la situation sur cybermalveillance.gouv.fr.

Demandez un suivi sur Ameli et la CAF. Connectez-vous régulièrement à vos espaces personnels Ameli et CAF pour vérifier qu'aucune démarche n'a été effectuée en votre nom à votre insu.

Ce que cette affaire révèle

L'affaire Pajemploi n'est pas un incident isolé. Elle s'inscrit dans une série de fuites massives qui touchent les services publics français depuis 2024 : France Travail (43 millions de dossiers), Viamedis et Almerys (33 millions de Français), et désormais deux attaques sur l'URSSAF en deux mois.

Le point commun de ces incidents : des organismes qui gèrent des données parmi les plus sensibles de la population -- NIR, données de santé, données d'emploi, coordonnées bancaires -- sans que les mesures de protection soient à la hauteur du niveau de risque.

L'URSSAF a refusé de dire comment la fuite Pajemploi est survenue. La base de données mise en vente contient potentiellement plus de données que ce que l'organisme a reconnu publiquement. Et deux mois après Pajemploi, un deuxième système de l'URSSAF était compromis.

Pour les 1,2 million de personnes touchées -- des assistants maternels, des gardes d'enfants, des salariés qui ont confié leurs données les plus personnelles à un service public --, la question n'est plus de savoir si leurs informations seront exploitées. Elle est de savoir quand.

Sources :

  • URSSAF, communiqué officiel, « Le service Pajemploi a été victime d'un vol de données », 18 novembre 2025 : urssaf.fr
  • IT-Connect, « Piratage du service Pajemploi de l'Urssaf : des données dans la nature », novembre 2025 : it-connect.fr
  • L'Usine Digitale, « À l'Urssaf, le service Pajemploi victime d'un vol de données concernant jusqu'à 1,2 million de salariés », novembre 2025 : usine-digitale.fr
  • Anadolu Agency, « France/Piratage de Pajemploi : une partie des données volées aurait été mise en vente », 29 décembre 2025 : aa.com.tr
  • LeMagIT, « Violation de données Pajemploi : l'Urssaf ne dira pas comment elle est survenue », novembre 2025 : lemagit.fr
  • Journal du Geek, « Pajemploi victime d'un vol massif de données : faites-vous partie des 1,2 million de salariés concernés ? », 17 novembre 2025 : journaldugeek.com

Articles similaires

Bouygues Telecom : 6,4 millions de clients exposés, IBAN compris

Le 6 août 2025, Bouygues Telecom a confirmé une fuite de données touchant 6,4 millions de comptes clients — soit 30 % de sa base d'abonnés. Coordonnées, état civil, données contractuelles et IBAN dans la nature. Analyse de l'incident et des risques concrets pour les victimes.

DGFiP : 1,2 million de comptes bancaires exposés via le fichier FICOBA

En février 2026, un attaquant a accédé au fichier national des comptes bancaires (FICOBA) de la DGFiP pendant 16 jours grâce à des identifiants usurpés d'un fonctionnaire. IBAN, identités, adresses : retour sur une fuite qui fragilise la confiance dans l'administration fiscale.

Éducation nationale : les données personnelles de 243 000 agents dans la nature après le piratage de COMPAS

Le 15 mars 2026, un pirate a accédé au système RH COMPAS du ministère de l'Éducation nationale via un compte compromis. Noms, adresses postales, téléphones de 243 000 enseignants et agents ont été exfiltrés puis mis en vente. Retour sur les faits, les failles, et ce que les personnels concernés doivent savoir.