Le prétendu piratage de la CAF, qui affole les médias en cette fin de semaine, n'était qu'une pure invention. La vraie victime n'est autre qu'une entité qui dépend du ministère des Sports, de la Jeunesse et de la Vie associative.
Partout, a été annoncée en cette fin de semaine la cyberattaque de la CAF, alors qu'il s'agit en réalité d'une manipulation cyber d'envergure. Si Clubic n'est pas tombé dans le piège, en prônant la méfiance au vu des nombreuses zones d'ombre, tout le monde ou presque a largement relayé le piratage de la Caisse d'allocations familiales, dans les médias, sur les réseaux sociaux et ailleurs. C'est en fait un service de l'État rataché au ministère des Sports, de la Jeunesse et de la Vie associative qui a été piraté. Qu'en est-il réellement ?
Quand un faux piratage cache une vraie cyberattaque gouvernementale
Pendant plus de vingt-quatre heures, l'info a tourné en boucle : la Caisse d'allocations familiales a été piratée, 22 millions de données françaises sont dans la nature. Un cybercriminel français a revendiqué l'exploit en voulait paraître crédible, après avoir affirmé détenir des informations issues de la cyberattaque contre le ministère de l'Intérieur. Le problème, c'est que cette CAF piratée, c'est du pur storytelling criminel.
Clément Domingo, aka SaxX, que nous avons pu joindre hier, nous faisant déjà part de son scepticisme, vis-à-vis de l'attaque supposée contre la CAF. On sait aujourd'hui que cette dernière n'a jamais été touchée. Comme le hacker éthique l'explique, le vrai piratage vise associations.gouv.fr, une plateforme dédiée aux associations, sous tutelle du ministère des Sports. L'attaque date du 3 novembre 2025 et porte la signature de Dumpsec, un groupe habitué de ce type d'opérations.
Dumpsec a même détaillé publiquement son mode opératoire. Ses membres, qui se sont fait passer pour une association légitime, ont détecté une faille de sécurité dans le système, puis ont aspiré 22 millions d'enregistrements (les fameux 22 millions) en une seule soirée. Ils ont aussi révélé leur stratégie pour revendre ces données. Une transparence qui témoigne de leur sentiment d'impunité face à des institutions visiblement impuissantes, presque dépassées.
Le ministère des Sports confirme l'exfiltration de données
Mais pourquoi cette vérité éclate-t-elle seulement maintenant, six semaines après les faits ? Parce que Dumpsec n'a pas supporté qu'un affabulateur s'attribue son travail et menace de « casser le business », comme l'explique SaxX. Le groupe a donc balancé les preuves pour rétablir sa paternité sur le piratage. Une guerre d'ego entre criminels qui révèle involontairement l'ampleur du désastre.
Le ministère des Sports, a lui, confirme l'intrusion ce jeudi 19 décembre. Le Pass Sport, dont nous avions entendu parler la veille, était bien la cible des cybercriminels. Dans un communiqué relayé par nos confrères de BFMTV, il reconnaît « une exfiltration de données » et annonce avoir mobilisé ses équipes techniques pour contenir les dégâts. Un dépôt de plainte sera déposé, la CNIL saisie sous 72 heures. Mais entre le 3 novembre et aujourd'hui, combien de temps les données sont-elles restées exposées sans réaction ?
Environ 3,5 millions de foyers sont concernés par cette fuite massive. Le ministère promet de les informer rapidement et de leur transmettre des « recommandations de sécurité ». En attendant, Dumpsec a déjà expliqué son plan pour rentabiliser cette base de données volée. Encore une brèche dans les services publics numériques. Comme le souligne SaxX, « il faut que cela change ! »
