Skip to content
Retour au blog
fuites-donnéescybersécuritédonnées-personnellesFrance

URSSAF : les données de 12 millions de salariés exposées via l'API DPAE

En janvier 2026, des pirates ont accédé aux données de 12 millions de salariés français via l'API de déclaration préalable à l'embauche de l'URSSAF. Noms, dates de naissance, employeurs : retour sur une fuite qui révèle la fragilité des interfaces publiques.

Thomas Ferreira11 min de lecture

Le 19 janvier 2026, l'URSSAF publie un communiqué qui passe d'abord relativement inaperçu. L'organisme y reconnaît un « accès frauduleux » à des données personnelles de salariés. Le chiffre, lui, ne passe pas inaperçu longtemps : 12 millions de personnes potentiellement concernées. Soit environ un salarié sur deux en France.

Ce n'est pas un piratage spectaculaire. Pas de ransomware, pas de serveurs en flammes, pas de message de rançon affiché sur les écrans. C'est pire en un sens : un accès discret, via des identifiants volés, à une interface de programmation (API) dont peu de Français connaissent l'existence. Et pourtant, les conséquences touchent la moitié de la population active du pays.

Ce qui s'est passé

L'API DPAE : l'interface que tout employeur utilise

Chaque embauche en France génère une déclaration préalable à l'embauche (DPAE), anciennement appelée déclaration unique d'embauche. C'est une obligation légale : tout employeur doit déclarer un nouveau salarié à l'URSSAF au plus tard dans les instants précédant l'embauche effective. La DPAE contient les informations d'identification du salarié et de l'employeur.

Pour faciliter cette procédure, l'URSSAF met à disposition une API — une interface technique qui permet aux logiciels de paie, aux cabinets comptables et aux partenaires institutionnels de transmettre automatiquement les déclarations. Cette API est connectée à une base de données colossale : toutes les embauches réalisées en France sur les trois dernières années.

Des identifiants volés en amont

L'attaque n'a pas ciblé directement les systèmes de l'URSSAF. Les pirates ont récupéré les identifiants d'un « compte partenaire » — un accès légitime attribué à un partenaire institutionnel de l'organisme. Ces identifiants avaient été dérobés lors d'une attaque antérieure visant ce partenaire.

Avec ces identifiants, les attaquants se sont connectés à l'API DPAE comme s'ils étaient un utilisateur autorisé. Ils ont ensuite aspiré les données de manière systématique. L'URSSAF a précisé que son système d'information « n'a pas été compromis » et que le service DPAE a continué de fonctionner normalement.

Cette distinction est importante sur le plan technique, mais elle ne change rien pour les 12 millions de personnes dont les données ont été extraites. Que l'attaquant soit passé par la porte principale ou par une fenêtre laissée ouverte par un partenaire, le résultat est le même.

Ce qui a fuité

Les données consultées et potentiellement extraites concernent 12 millions de salariés ayant fait l'objet d'une nouvelle embauche depuis moins de trois ans. Pour chaque personne, les informations exposées sont :

  • Nom et prénom
  • Date de naissance
  • Numéro SIRET de l'employeur (qui identifie l'entreprise)
  • Date d'embauche

L'URSSAF insiste sur ce qui n'a pas fuité : les adresses email, les adresses postales, les numéros de téléphone, les numéros de Sécurité sociale et les coordonnées bancaires ne faisaient pas partie des données accessibles via l'API DPAE.

Pourquoi c'est plus grave qu'il n'y paraît

La réaction instinctive face à cette liste pourrait être de minimiser : « pas de numéro de Sécu, pas de RIB, c'est pas si grave ». Ce serait une erreur d'analyse.

Un fichier d'enrichissement rêvé pour les attaquants

Dans l'univers de la cybercriminalité, les données ne sont pas exploitées isolément. Elles sont croisées, enrichies, recoupées. Un fichier contenant 12 millions de couples « nom + date de naissance + employeur » est un outil d'enrichissement précieux pour les bases de données volées lors d'autres fuites.

Prenons un exemple concret. Un attaquant possède déjà, via une fuite précédente (Free Mobile, SFR, Boulanger — les options ne manquent pas), l'email et le numéro de téléphone d'une personne. Grâce à la fuite URSSAF, il sait maintenant où cette personne travaille et depuis quand. Il peut désormais lui envoyer un email de phishing qui mentionne son employeur par son nom. « Bonjour, suite à votre embauche chez [entreprise] en [date], votre dossier de mutuelle nécessite une mise à jour. » Le taux de clic sur ce type de message est sans commune mesure avec un spam générique.

La date de naissance : une clé de voûte sous-estimée

La date de naissance est l'un des éléments les plus utilisés comme question de sécurité ou comme facteur d'authentification secondaire dans les services en ligne français. Elle sert à vérifier l'identité sur Ameli.fr, dans les parcours bancaires, dans les processus de récupération de mot de passe de nombreux services. Combinée au nom et au prénom, elle constitue un triptyque d'identification qui ouvre bien des portes.

Le numéro SIRET : la carte d'identité de l'employeur

Le numéro SIRET identifie de manière unique un établissement. Avec cette information, un attaquant peut identifier l'entreprise, son secteur d'activité, sa taille, sa localisation. Il peut cibler des campagnes de phishing par secteur, simuler des communications internes, ou monter des arnaques au faux virement en se faisant passer pour un fournisseur de l'entreprise.

Un organisme déjà touché deux mois plus tôt

Ce piratage de janvier 2026 n'est pas le premier incident de sécurité pour l'URSSAF. En novembre 2025, l'organisme avait déjà confirmé une fuite de données touchant le service Pajemploi — la plateforme de déclaration des salariés à domicile (assistantes maternelles, gardes d'enfants).

Cette première fuite avait exposé les données de 1,2 million de personnes, avec des informations sensiblement plus critiques : noms, numéros de Sécurité sociale, adresses, dates de naissance, numéros Pajemploi, numéros d'agrément, noms de banques et IBAN complets.

Deux incidents en deux mois, sur deux interfaces différentes du même organisme. Le premier touche les particuliers employeurs, le second touche les salariés du privé. À ce rythme, c'est l'ensemble de l'écosystème social français qui se retrouve exposé.

La question des API publiques

L'affaire URSSAF illustre un problème qui dépasse largement cet organisme : la sécurisation des API des services publics français.

Une API (Application Programming Interface) est une porte d'entrée technique dans un système d'information. Elle permet à des logiciels tiers de consulter ou d'envoyer des données. Dans le cas de l'URSSAF, l'API DPAE est utilisée quotidiennement par des milliers d'entreprises, de cabinets comptables et de prestataires de paie.

Le problème est structurel. Ces API sont conçues pour être accessibles — c'est leur raison d'être. Mais cette accessibilité crée une surface d'attaque considérable. Les questions à poser sont simples :

L'authentification était-elle multi-facteurs ? Si un simple couple identifiant/mot de passe suffisait à se connecter à l'API, la faille est béante. L'URSSAF n'a pas communiqué sur ce point, mais le fait que des identifiants volés aient suffi à obtenir l'accès suggère l'absence de second facteur.

La détection des anomalies était-elle en place ? L'aspiration de 12 millions d'enregistrements génère un volume de requêtes anormal. Un système de détection d'anomalies (rate limiting, analyse comportementale) aurait dû alerter bien avant que l'intégralité des données soit extraite.

Les accès partenaires étaient-ils surveillés ? L'URSSAF distribue des accès API à de nombreux partenaires. Si l'un de ces partenaires est compromis, toute la chaîne est compromise. La question de la co-responsabilité et de la surveillance des accès tiers est centrale.

Ces questions ne concernent pas que l'URSSAF. Elles s'appliquent à l'ensemble des administrations françaises qui exposent des API : les impôts (DGFiP), la CNAM, la CAF, France Travail. Chacune de ces interfaces est une cible potentielle, et chacune détient des données sur des millions de citoyens.

Ce que les entreprises doivent retenir

Pour les entreprises, la fuite URSSAF est un rappel brutal : les données de vos salariés ne sont pas seulement dans vos systèmes. Elles circulent dans un écosystème de services publics et de prestataires sur lequel vous n'avez aucun contrôle direct.

Informez vos salariés. Si vous avez embauché des collaborateurs au cours des trois dernières années, prévenez-les que leurs données ont pu être exposées. Donnez-leur des consignes concrètes de vigilance, en particulier face aux tentatives de phishing qui mentionneraient votre entreprise.

Renforcez la sensibilisation au phishing ciblé. Les attaques qui suivent ce type de fuite sont plus sophistiquées que le spam habituel. Elles mentionnent le nom de l'employeur, la date d'embauche, parfois le poste. Les formations génériques ne suffisent pas — il faut des simulations de phishing adaptées au contexte.

Vérifiez la sécurité de vos propres API. Si votre entreprise expose des interfaces de programmation (API clients, API partenaires), c'est le moment de vérifier que l'authentification est multi-facteurs, que les accès sont journalisés, que les volumes de requêtes sont surveillés et que les comptes partenaires sont régulièrement audités.

Pour les salariés concernés

Si vous avez été embauché ou avez changé d'emploi au cours des trois dernières années, vous faites potentiellement partie des 12 millions de personnes touchées. Voici ce que vous pouvez faire.

Méfiez-vous des emails et appels liés à votre emploi. Un message de votre « service RH », de votre « mutuelle d'entreprise » ou de l'« URSSAF » vous demandant de mettre à jour vos coordonnées bancaires est très probablement frauduleux. En cas de doute, contactez directement votre employeur par les canaux habituels.

Surveillez les tentatives d'usurpation. Avec votre nom, votre date de naissance et votre employeur, un attaquant peut tenter de se faire passer pour vous auprès de certains services. Soyez vigilant si vous recevez des notifications de services auxquels vous n'avez pas souscrit.

Ne communiquez jamais votre date de naissance par email ou téléphone. De nombreux services l'utilisent comme élément de vérification d'identité. Si un interlocuteur vous la demande pour « confirmer votre identité », raccrochez et rappelez le numéro officiel.

Le signal d'alarme pour les services publics

En l'espace de quelques mois, les Français ont vu leurs données exposées par France Travail (43 millions de dossiers en 2024), par la CNAM, par Pajemploi, et maintenant par l'API DPAE de l'URSSAF. À chaque fois, le même mécanisme : un accès détourné via un partenaire ou un sous-traitant, une API insuffisamment protégée, une détection tardive.

L'État français a lancé des initiatives — le programme CaRE pour les hôpitaux, la directive NIS 2 pour les opérateurs essentiels — mais ces efforts restent fragmentés. La sécurisation des API des services publics, qui concentrent les données les plus sensibles de la population, ne fait l'objet d'aucun programme dédié à la hauteur de l'enjeu.

Douze millions de fiches salariales dans la nature. Pour la deuxième fuite de l'URSSAF en deux mois, le constat est sans appel : la transformation numérique des services publics a avancé plus vite que leur sécurisation.

Sources :

  • Le Monde, « Accès frauduleux aux données de l'Urssaf : 12 millions de salariés potentiellement concernés », 19 janvier 2026 : lemonde.fr
  • Franceinfo, « L'Urssaf a subi un accès frauduleux à des données personnelles de salariés », 20 janvier 2026 : franceinfo.fr
  • Next.ink, « Nouvelle fuite de données à l'Urssaf, 12 millions de victimes potentielles », 19 janvier 2026 : next.ink
  • Silicon.fr, « Piratage de l'Urssaf : 12 millions de salariés exposés via l'API DPAE », 20 janvier 2026 : silicon.fr
  • Le Monde Informatique, « Piratage de l'Urssaf, les données de 12 millions de personnes exposées », 19 janvier 2026 : lemondeinformatique.fr
  • BFMTV, « 12 millions de salariés potentiellement concernés par une fuite massive de données de l'Urssaf », 20 janvier 2026 : bfmtv.com
  • Numerama, « Comment se prémunir après la fuite de l'URSSAF ? », 20 janvier 2026 : numerama.com

Articles similaires

Bouygues Telecom : 6,4 millions de clients exposés, IBAN compris

Le 6 août 2025, Bouygues Telecom a confirmé une fuite de données touchant 6,4 millions de comptes clients — soit 30 % de sa base d'abonnés. Coordonnées, état civil, données contractuelles et IBAN dans la nature. Analyse de l'incident et des risques concrets pour les victimes.

DGFiP : 1,2 million de comptes bancaires exposés via le fichier FICOBA

En février 2026, un attaquant a accédé au fichier national des comptes bancaires (FICOBA) de la DGFiP pendant 16 jours grâce à des identifiants usurpés d'un fonctionnaire. IBAN, identités, adresses : retour sur une fuite qui fragilise la confiance dans l'administration fiscale.

Éducation nationale : les données personnelles de 243 000 agents dans la nature après le piratage de COMPAS

Le 15 mars 2026, un pirate a accédé au système RH COMPAS du ministère de l'Éducation nationale via un compte compromis. Noms, adresses postales, téléphones de 243 000 enseignants et agents ont été exfiltrés puis mis en vente. Retour sur les faits, les failles, et ce que les personnels concernés doivent savoir.