Fuite massive de données CAF : 13,5 millions de foyers menacés, ce que les pirates savent déjà sur vous (et les gestes à faire au plus vite)
Une fuite massive de données à la CAF, via le dispositif Pass’Sport du ministère des Sports, expose des millions de foyers français depuis mi‑décembre 2025. Que risque réellement votre famille et quels gestes appliquer dès maintenant pour limiter les dégâts ?

Depuis quelques jours, les allocataires de la Caisse d’allocations familiales voient circuler des messages alarmants au sujet d’une énorme fuite de données. Sur les réseaux sociaux comme dans les conversations de voisinage, une même question revient : leurs informations personnelles se retrouvent-elles vraiment entre les mains de pirates informatiques ?
Dans la nuit du 17 au 18 décembre 2025, un fichier colossal présenté comme des données de la CAF a été mis en ligne sur le forum criminel BreachForums, revendiqué par des pirates liés aux groupes « ShinyHunters » et « Hollow » et à un hacker se faisant appeler Indra. L’affaire prend une ampleur inédite, car elle touche au cœur des prestations sociales françaises et inquiète des millions de familles, dont certaines utilisent aussi le dispositif Pass’Sport pour financer les activités de leurs enfants. Et ce que l’enquête révèle surprend plus d’un allocataire.
Fuite de données CAF : un fichier géant qui met en alerte 13,5 millions de foyers
Les premiers éléments techniques décrivent un fichier de près de 22,4 millions de lignes, pour environ 15 Go, mis en téléchargement libre par le pirate Indra, qui revendique « 22 millions des données personnelles » d’allocataires. Dans ses messages, l’attaque est présentée comme un « cadeau de Noël » en représailles à des opérations policières, ce qui illustre un changement brutal d’échelle dans les attaques visant les services publics sociaux.
Selon les analyses réalisées sur ce fichier, il s’agit de la plus grande compromission de données pour un organisme social en France. On y trouve des identités complètes, des adresses postales, des numéros de téléphone, des adressse e-mail, des dates de naissance, parfois le numéro d’allocataire CAF et des informations liées au Pass’Sport, couvrant une période allant de septembre 2024 à novembre 2025. La France compte environ 13,5 millions de foyers allocataires de la CAF, et la base brute comporte 22,4 millions de lignes, ce qui signifie que plusieurs années d’historique et de doublons se mélangent ; après dédoublonnage, les premières estimations évoquent près de 3,5 millions de foyers distincts, soit jusqu’à 8 millions de personnes exposées. La bonne nouvelle, c’est qu’aucune donnée bancaire et aucun mot de passe de l’espace « Mon Compte » ne figurent dans ces fichiers, selon la Caisse nationale des allocations familiales (CNAF).
Pass’Sport, CNAF et RGPD : que change la fuite de données CAF pour votre foyer ?
Dès les premières révélations, la Caisse nationale des allocations familiales a insisté sur le fait que « nos systèmes n’ont pas été piratés ». « Aucune intrusion, ni faille n’ont été détectées. Notre système d’information n’a jamais été piraté et reste pleinement sécurisé », assurait, ce jeudi, l’organisme public, cité par Le Parisien. Les investigations menées par la CNAF et par l’État pointent plutôt vers un service partenaire : le dispositif Pass’Sport, piloté par le Ministère des Sports, qui agrège des données venues de la CAF, de la Mutualité sociale agricole (MSA) et du CNOUS pour identifier les jeunes éligibles à cette aide à la pratique sportive.
Que la brèche vienne du ministère des Sports ou d’une autre administration ne change rien pour les personnes concernées : leurs données circulent désormais sur des forums criminels, prêtes à être utilisées pour de l’hameçonnage ciblé ou de l’usurpation d’identité. La Gendarmerie nationale met déjà en garde contre des escroqueries qui exploitent ces informations et rappelle que « Cette nouvelle arnaque populaire est redoutable ». Dans ce contexte, le principe de précaution s’impose, d’autant que le RGPD oblige les organismes publics à notifier la CNIL dans les 72 heures et à informer directement les personnes touchées, ce qui peut prendre du temps. Pour limiter les risques, quelques réflexes simples sont recommandés par les autorités comme par les experts en cybersécurité. Ils concernent autant l’accès à votre espace CAF que la surveillance de vos comptes bancaires et la manière de réagir aux messages suspects :
- changer immédiatement le mot de passe de votre espace Mon Compte sur caf.fr et éviter de le réutiliser sur d’autres sites ;
- activer la double authentification proposée par la CAF dès qu’elle est disponible sur votre compte, afin d’ajouter un code SMS ou une application de validation ;
- surveiller vos relevés bancaires et signaler sans délai à votre banque toute opération douteuse, puis déposer plainte en cas d’usurpation d’identité ;
- se méfier des e-mails, SMS ou appels qui se réclament de la CAF, même s’ils connaissent vos nom, adresse ou numéro d’allocataire, et ne jamais communiquer vos codes de connexion ni vos coordonnées bancaires.
En bref
- Dans la nuit du 17 au 18 décembre 2025, un fichier de 22,4 millions de lignes présenté comme des données de la CAF a été publié sur BreachForums par des pirates se réclamant de ShinyHunters, Hollow et Indra.
- L’enquête pointe une compromission du dispositif Pass’Sport du ministère des Sports, agrégant des données de la CAF, de la MSA et du CNOUS, exposant environ 3,5 millions de foyers, soit jusqu’à 8 millions de personnes.
- Entre risques d’hameçonnage ciblé et d’usurpation d’identité, les allocataires sont appelés à renforcer la sécurité de leur compte CAF, à rester vigilants et à faire valoir leurs droits RGPD auprès de la CNIL si besoin.









