Un vent de panique a soufflé sur les médias et les réseaux sociaux en raison de la prétendue cyberattaque de la Caisse d’allocations familiales (CAF). Cependant, la véritable cible était une plateforme du ministère des Sports, de la Jeunesse et de la Vie associative. Retour sur une confusion qui a pris une ampleur inattendue.
Les 3 infos à ne pas manquer
- La CAF n’a pas été piratée ; c’est une plateforme rattachée au ministère des Sports qui a été victime d’une cyberattaque.
- Le groupe de hackers Dumpsec est à l’origine de l’attaque, ayant subtilisé 22 millions d’enregistrements.
- Le ministère des Sports a confirmé l’intrusion et a annoncé des mesures pour contenir les dommages.
Une confusion médiatique autour de la CAF
Durant plus de vingt-quatre heures, l’information selon laquelle la CAF avait été piratée a circulé sans interruption. Cette rumeur a été alimentée par un cybercriminel français qui a prétendu être à l’origine de cet exploit. Cependant, il s’agissait en réalité d’une manipulation. La véritable cible était une plateforme du ministère des Sports, associations.gouv.fr, dédiée aux associations.
Clément Domingo, également connu sous le nom de SaxX, un hacker éthique, a exprimé dès le début son scepticisme vis-à-vis de cette prétendue attaque contre la CAF. Aujourd’hui, il est confirmé que la CAF n’a jamais été touchée par cette cyberattaque.
Le véritable piratage : une plateforme du ministère des Sports
Le groupe de hackers Dumpsec a orchestré l’attaque sur la plateforme associations.gouv.fr le 3 novembre 2025. En se faisant passer pour une association légitime, ils ont exploité une faille de sécurité pour extraire 22 millions d’enregistrements en une seule nuit. Ce groupe, déjà connu pour ses opérations similaires, a même publié des détails sur leur méthode, illustrant ainsi un sentiment d’impunité.
La révélation de ces faits intervient six semaines après l’attaque initiale, en raison d’une querelle entre Dumpsec et un affabulateur qui s’était attribué à tort la responsabilité de l’attaque, menaçant ainsi leur « business ». Dumpsec a donc décidé de diffuser des preuves pour revendiquer leur action.
Réaction du ministère des Sports et impact sur les citoyens
Le ministère des Sports a officiellement reconnu l’intrusion le 19 décembre et a précisé que le Pass Sport était bien la cible des cybercriminels. Un communiqué relayé par BFMTV mentionne une « exfiltration de données » et la mise en place de mesures pour atténuer les conséquences de l’attaque. Une plainte sera déposée et la CNIL saisie dans un délai de 72 heures.
Environ 3,5 millions de foyers sont concernés par cette fuite massive de données. Le ministère s’engage à informer rapidement les personnes touchées et à leur fournir des « recommandations de sécurité ». Pendant ce temps, Dumpsec a déjà dévoilé son intention de monétiser les données volées, soulignant une nouvelle faille dans la sécurité des services publics numériques.
Le groupe Dumpsec : un acteur connu des cyberattaques
Dumpsec est un groupe de hackers notoire, habitué à ce type d’opérations. Leur expertise en matière de cybercriminalité s’est déjà manifestée à plusieurs reprises, avec des attaques ciblées sur diverses institutions. Cette dernière attaque sur une plateforme gouvernementale illustre leur capacité à exploiter des failles de sécurité avec une efficacité redoutable.
La méthode de Dumpsec repose souvent sur la dissimulation et l’usurpation d’identité, en se faisant passer pour des entités légitimes. Leur transparence quant à leurs procédés témoigne de leur confiance dans un système qu’ils perçoivent comme vulnérable et incapable de les poursuivre efficacement.
