Attaque

e-Benefits Prévoyance : 6 420 utilisateurs en fuite après une faille IDOR

Une fuite de données attribuée à e-Benefits Prévoyance a été revendiquée le 12 juillet 2026. Les auteurs affirment avoir exploité une faille de contrôle d’accès dans une API afin de consulter et d’extraire des informations liées à environ 6 420 utilisateurs.

e-Benefits Prévoyance fournit des outils numériques destinés à la gestion de régimes de prévoyance, d’assurance et d’avantages sociaux pour les entreprises, assureurs et salariés. À ce stade, l’incident reste une revendication non confirmée officiellement.

e-Benefits Prévoyance cyberattaque

Une faille IDOR revendiquée dans l’API

Les auteurs affirment avoir découvert une vulnérabilité de type IDOR, pour Insecure Direct Object Reference. Ce défaut apparaît lorsqu’une application permet d’accéder à une ressource en modifiant un identifiant, sans vérifier correctement les droits de l’utilisateur.

Dans ce type de scénario, un attaquant peut automatiser les requêtes et parcourir successivement les fiches accessibles depuis l’API. Les auteurs affirment avoir disposé d’un accès suffisamment large pour extraire l’ensemble des données disponibles.

6 420 utilisateurs annoncés

La publication évoque un fichier contenant les données de 6 420 utilisateurs. Le volume exact de personnes uniques, les catégories d’utilisateurs concernées et la période couverte ne sont toutefois pas détaillés.

Les informations pourraient concerner des salariés, entreprises clientes, gestionnaires ou personnes disposant d’un accès aux services de prévoyance proposés par la plateforme.

Des contrats d’entreprise et données de prévoyance visibles

L’échantillon publié contient plusieurs informations liées à des contrats collectifs et aux entreprises associées :

  • identifiant de groupe ;
  • identifiant interne du contrat ;
  • numéro de contrat ;
  • nom de l’entreprise ;
  • libellé du régime ou de la population couverte ;
  • numéro SIREN ou SIRET ;
  • identifiant de société ;
  • référence de notice ;
  • date de dernière mise à jour.

Ces données peuvent révéler l’existence d’un contrat collectif, le nom d’une entreprise cliente et l’organisation de certains régimes de prévoyance.

Le périmètre des données personnelles reste inconnu

Les auteurs annoncent des données liées à plusieurs milliers d’utilisateurs, mais ne détaillent pas précisément les champs personnels présents dans le fichier diffusé.

Aucun mot de passe, document d’identité, donnée bancaire ou information médicale n’est explicitement mentionné dans les éléments disponibles. Il reste donc impossible de déterminer si ces catégories sont concernées.

Des risques de phishing ciblé contre les entreprises

Les informations sur les contrats et les sociétés peuvent être utilisées pour créer des messages frauduleux crédibles à destination des services des ressources humaines, des gestionnaires de paie ou des salariés.

Les scénarios possibles incluent :

  • fausse mise à jour d’un contrat de prévoyance ;
  • faux message d’un assureur ou d’un gestionnaire ;
  • fausse demande de connexion à un espace salarié ;
  • faux document concernant des garanties ;
  • demande frauduleuse de données personnelles ;
  • tentative de récupération d’identifiants.

Une cartographie des clients potentiellement exposée

La présence des noms d’entreprises, numéros de contrats et références internes peut permettre de cartographier une partie du portefeuille géré par e-Benefits Prévoyance.

Ces informations peuvent également être croisées avec des données publiques afin d’identifier les responsables RH, interlocuteurs administratifs ou salariés d’une entreprise donnée.

Une revendication à confirmer officiellement

Le nombre de personnes réellement concernées, le contenu complet des fichiers et l’origine exacte de la vulnérabilité doivent encore être confirmés.

Si la revendication est authentique, l’incident pourrait exposer plusieurs milliers d’utilisateurs ainsi que des informations commerciales et administratives liées aux contrats de prévoyance d’entreprises clientes.

Thomas Lazzaroni Thomas Lazzaroni
Articles similaires