Fuite CAF — Décembre 2025 Divulguée fin décembre 2025

Effacez vos données chez la CAF —
13,5 millions de foyers exposés, 22 millions de lignes dans la nature.

Demandez l'effacement maintenant. Il vous faut deux minutes, votre nom et votre email.

Gratuit Sans compte Sans carte bancaire Vous gardez la copie

Sources confirmées (presse + base spécialisée)

My Jugaad · chronologie Solutions Numériques · 22M lignes ADCF · 13,5M foyers Journal de l'Économie · impact bénéficiaires Bourse Inside · gestes à faire

Tous les chiffres affichés ci-dessus (13,5 millions de foyers, 22 millions de lignes, revendication ShinyHunters de Noël 2025) sont confirmés par ces 5 sources et reconnus par la CNAF dans son communiqué officiel.

⚖️ Demande RGPD — Articles 17 et 21

Supprimez vos données à la CAF

Renseignez l'identité utilisée dans votre dossier CAF. Aucune carte bancaire, aucun compte Sheeldy nécessaire. Service entièrement gratuit.

Prénom *

Nom *

Email utilisé sur votre espace CAF *

L'adresse que vous avez fournie à la CAF. C'est elle qui sera citée dans la demande au DPO.

Numéro d'allocataire CAF (facultatif)

Optionnel mais accélère le traitement côté CAF. Vous le trouvez sur votre espace caf.fr ou sur vos attestations.

En cliquant « Envoyer la demande », vous autorisez Sheeldy à transmettre en votre nom à la CAF (CNAF) une demande de suppression de vos données personnelles (article 17 RGPD) et d'opposition au traitement à des fins de prospection ou de profilage (article 21 RGPD), rédigée à la première personne comme si vous l'écriviez. Vous serez mis en copie de l'email envoyé.

CAF : 13,5 millions de foyers exposés, et un « cadeau de Noël » de ShinyHunters qui vise les plus fragiles.

Q: Mon RSA ou ma prime d'activité peuvent-ils être détournés par un fraudeur ?

Pas directement, car le RIB n'est pas dans la fuite et la CAF ne permet pas de changer ses coordonnées bancaires sans validation à plusieurs facteurs. En revanche, le risque principal est le phishing : un fraudeur peut vous appeler ou vous envoyer un email/SMS personnalisé en se faisant passer pour la CAF, prétextant un « remboursement à valider » pour vous soutirer votre RIB ou votre code de validation. Ne validez JAMAIS une demande non-sollicitée venant prétendument de la CAF.

Q: Sheeldy envoie-t-il vraiment la demande à la CAF ?

Oui. Une fois votre confirmation email validée, Sheeldy envoie une demande RGPD au DPO de la CNAF (delegue-protection-donnees@cnaf.fr) invoquant cumulativement les articles 17 (effacement) et 21 (opposition). À noter : la CAF étant un organisme public de prestation sociale, elle a des obligations légales de conservation pour les dossiers actifs — la suppression complète n'est possible qu'après extinction de tous vos droits.

Q: Qui est ShinyHunters / Hollow ?

ShinyHunters est l'un des groupes de cybercriminels les plus actifs depuis 2020, à l'origine de fuites massives (Microsoft GitHub, Tokopedia, AT&T). Hollow est un alias récent. Leur mode opératoire : exfiltration de bases entières, revente ou diffusion publique avec une mise en scène spectaculaire (ici, le « cadeau de Noël » sur un forum cybercriminel). Le FBI américain a inculpé plusieurs membres en 2024, mais le groupe reste opérationnel via de nouveaux affiliés.

Fin décembre 2025, le groupe cybercriminel ShinyHunters / Hollow a revendiqué publiquement, sur un forum spécialisé, l'exfiltration d'une base interne de la CAF couvrant environ 13,5 millions de foyers allocataires (soit 22,4 millions de lignes nominatives). La mise en scène — un « cadeau de Noël » offert aux familles précaires — vise délibérément les bénéficiaires de minima sociaux : RSA, prime activité, APL, AAH. Si vous êtes ou avez été allocataire, vous pouvez exiger la suppression de vos données identifiantes au titre de l'article 17 du RGPD et l'arrêt immédiat de tout profilage non nécessaire au titre de l'article 21. Sheeldy envoie cette demande à votre place, gratuitement, au DPO officiel de la CNAF.

Section 01 — Les faits

Ce qu'on sait de la fuite CAF de décembre 2025

Le calendrier est documenté précisément. À partir du 20 décembre 2025, des échantillons d'une base interne de la CAF apparaissent sur un forum cybercriminel anglophone, signés ShinyHunters / Hollow. Le 22 décembre, la diffusion s'élargit : un fichier de 22,4 millions de lignes, correspondant à environ 13,5 millions de foyers allocataires, est mis en téléchargement payant. Le 23 décembre, la CNAF confirme l'incident à la presse, sans contester les chiffres avancés par les attaquants. Le vecteur initial n'a pas été communiqué publiquement à ce jour.

La singularité de cette opération n'est pas technique mais narrative. Les attaquants ont mis en scène la fuite comme un « cadeau de Noël » destiné aux familles précaires, avec un message moqueur publié au moment des fêtes. Ce framing n'est pas anodin : ShinyHunters cherche systématiquement à maximiser la couverture médiatique de ses opérations pour augmenter la valeur de revente, et c'est précisément ce moment de l'année — anxiété de fin de mois, dépendance aux prestations sociales — qui rend les allocataires les plus exposés aux escroqueries qui vont suivre.

Foyers exposés

~13,5 M

Lignes exfiltrées

~22 M

Période

Décembre 2025

Groupe

ShinyHunters

Pourquoi cette fuite cible les plus fragiles : les allocataires CAF figurent parmi les publics les plus vulnérables au phishing personnalisé. Une partie d'entre eux est peu équipée en outils de défense numérique, dépend mensuellement des versements pour le loyer ou l'alimentation, et accordera donc spontanément crédit à un email ou SMS imitant la CAF s'il évoque un « complément à percevoir », un « trop-perçu à régulariser » ou une « pièce justificative à transmettre ». La quasi-totalité des données identifiantes nécessaires pour rendre ces messages crédibles (nom, prénom, adresse postale, téléphone, statut allocataire) est désormais dans la nature.

Chronologie de la fuite

My Jugaad — Cyberattaque CAF : 22 millions de données volées, familles sous le choc et institutions dépassées

Section 02 — Le détail

Quelles données ont fuité ?

La CNAF a communiqué la liste précise des champs exposés. Bonne nouvelle : aucun RIB, aucun mot de passe, aucun numéro de sécurité sociale (NIR). Mais les éléments identifiants nécessaires à du phishing très réaliste sont, eux, complets — y compris pour les bénéficiaires associés au dossier (enfants à charge, ascendants).

— Exposées

Nom, prénom et adresse postale de l'allocatairePermet une mise en scène crédible « courrier officiel CAF »

Adresse email et numéro de téléphoneVecteurs directs pour SMS et emails frauduleux personnalisés

Statut allocataire (RSA, APL, AAH, prime activité)Permet à l'attaquant de calibrer l'arnaque par prestation perçue

Composition du foyer (enfants à charge, ascendants)Données identifiantes des bénéficiaires associés, dont mineurs

— Préservées

✓

RIB et coordonnées bancairesStockés dans un système isolé non exfiltré

✓

NIR (numéro de sécurité sociale)Aucun risque d'usurpation administrative directe

✓

Montants détaillés d'allocations verséesLes sommes exactes ne figurent pas dans la base exfiltrée

Section 03 — Vos droits

Ce que Sheeldy demande, et ce que la CAF doit obligatoirement faire

La CAF est un organisme public chargé d'une mission de service public de prestation sociale. Cela change le périmètre de ce que vous pouvez obtenir : certaines données doivent être conservées tant que vos droits sont ouverts. Sheeldy envoie donc une demande RGPD cumulative, calibrée pour ce statut public :

Article 17 du RGPD — droit à l'effacement : la CAF doit supprimer l'intégralité de votre dossier après extinction de tous vos droits (RSA, APL, allocations familiales, etc.). Si vous n'êtes plus allocataire depuis plus de 5 ans, la suppression doit être effective. Si vous êtes encore allocataire actif, la demande s'applique aux données accessoires (préférences marketing, historiques de navigation sur caf.fr, profilage interne) — pas aux données nécessaires au calcul de vos droits.
Article 21 du RGPD — droit d'opposition : vous pouvez vous opposer à tout traitement non strictement nécessaire à la gestion de vos prestations : campagnes d'information non sollicitées, profilage statistique nominatif, transmission à des partenaires non obligatoires. Ce droit est opposable même à un organisme public dès lors que le traitement n'est pas imposé par la loi.

Ce qui est garanti immédiatement (art. 21) : l'arrêt de toute communication non strictement nécessaire à votre dossier, de tout profilage commercial ou statistique non anonymisé, et de toute transmission à des tiers (banques partenaires, organismes complémentaires) qui n'est pas une obligation légale.

Ce qui est subordonné au service public (art. 17) : la suppression de votre dossier d'allocataire dans son intégralité ne peut intervenir qu'après extinction de tous vos droits et expiration des délais de conservation imposés par le Code de la sécurité sociale (généralement 5 ans après la fin des droits, jusqu'à 10 ans pour les justificatifs comptables). En pratique, Sheeldy obtient l'effacement de tout ce qui n'est pas strictement nécessaire au calcul de vos prestations en cours.

La CAF dispose d'un mois pour répondre formellement (article 12.3 RGPD), prolongeable à trois mois sur motivation. Sans réponse à J+30, vous pouvez saisir la CNIL — qui a déjà ouvert d'office un contrôle sur la CNAF suite à cette fuite.

Remonter au formulaire

Questions fréquentes — Fuite CAF

Mon RSA ou ma prime d'activité peuvent-ils être détournés par un fraudeur ?

Pas directement, car le RIB n'est pas dans la fuite et la CAF ne permet pas de changer ses coordonnées bancaires sans validation à plusieurs facteurs. En revanche, le risque principal est le phishing : un fraudeur peut vous appeler ou vous envoyer un email/SMS personnalisé en se faisant passer pour la CAF, prétextant un « remboursement à valider » pour vous soutirer votre RIB ou votre code de validation. Ne validez JAMAIS une demande non-sollicitée venant prétendument de la CAF.

Comment savoir si mon foyer figure dans le fichier de 22 millions de lignes ?

Si vous êtes ou avez été allocataire CAF récemment (RSA, APL, allocations familiales, prime activité, AAH), il est statistiquement probable que vous figuriez dans la base exfiltrée — elle couvre 13,5 millions de foyers, soit la majorité des allocataires français. La CAF a indiqué procéder à une notification individuelle aux foyers concernés via le portail caf.fr. Connectez-vous à votre espace pour vérifier les notifications.

La CAF doit-elle me verser une indemnité ?

Légalement, oui — mais cela passe par une procédure. Vous pouvez d'abord adresser une réclamation indemnitaire à la CAF en invoquant l'article 82 RGPD (préjudice du fait d'un manquement à la sécurité). En cas de refus, la CNIL peut être saisie. Le préjudice à démontrer est généralement l'angoisse, la perte de temps pour vérifier ses comptes, et le risque de phishing ciblé. Les indemnités constatées en jurisprudence française vont de 100 € à 500 € par personne touchée.

Mon allocataire CAF mineur ou personne âgée dépendante est-elle aussi concernée ?

Oui. Si votre dossier CAF inclut des bénéficiaires (enfants à charge, ascendants dépendants), leurs données identifiantes (nom, prénom, date de naissance) sont également exposées. C'est particulièrement préoccupant pour les mineurs, dont l'identité peut être utilisée pour des fraudes à long terme sans qu'ils en aient conscience.

Sheeldy envoie-t-il vraiment la demande à la CAF ?

Oui. Une fois votre confirmation email validée (double opt-in obligatoire), Sheeldy envoie une demande RGPD au DPO de la CNAF (delegue-protection-donnees@cnaf.fr) invoquant cumulativement les articles 17 (effacement) et 21 (opposition). À noter : la CAF étant un organisme public de prestation sociale, elle a des obligations légales de conservation pour les dossiers actifs — la suppression complète n'est possible qu'après extinction de tous vos droits.

Qui est ShinyHunters / Hollow ?

ShinyHunters est l'un des groupes de cybercriminels les plus actifs depuis 2020, à l'origine de fuites massives (Microsoft GitHub, Tokopedia, AT&T). Hollow est un alias récent. Leur mode opératoire : exfiltration de bases entières, revente ou diffusion publique avec une mise en scène spectaculaire (ici, le « cadeau de Noël » sur un forum cybercriminel). Le FBI américain a inculpé plusieurs membres en 2024, mais le groupe reste opérationnel via de nouveaux affiliés.

Mentions RGPD applicables à ce formulaire

Responsable de traitement : Sheeldy (sheeldy.com). Finalité : transmettre en votre nom au DPO de la CNAF (CAF) une demande d'effacement et d'opposition (articles 17 et 21 RGPD), rédigée à la première personne. Base légale : votre demande explicite via le formulaire (art. 6.1.a RGPD). Destinataires : DPO de la CNAF (delegue-protection-donnees@cnaf.fr) et, le cas échéant, la CNIL en cas de recours. Durée de conservation : 3 ans pour la trace de la demande. Vos droits sur vos données chez Sheeldy : accès, rectification, effacement, opposition — à exercer auprès de privacy@sheeldy.com. Politique complète : conditions d'utilisation.