La CFDT communique tardivement sur la cyberattaque de Cl0p

Ce mercredi 18 février 2026, la CFDT a publié un communiqué dans lequel elle dit avoir été « victime d’une cyberattaque ».

Selon ce communiqué, le syndicat se dit « victime d’une attaque informatique impliquant un téléchargement illégal de fichiers contenant des données personnelles d’adhérents ». 

Selon le communiqué, « dès qu’elle a eu connaissance de cet incident, la CFDT a isolé et stoppé le serveur hébergeant ses applications ». Et d’indiquer que « des investigations sont en cours pour estimer l’impact de cette violation de données informatiques ».

Cette déclaration survient quatre jours après que l’enseigne de cyber-extorsion Cl0p a revendiqué avoir dérobé des données au syndicat, sans en préciser la quantité ni la nature. 

Actuellement, l’enseigne Cl0p n’utilise pas de rançongiciel et ne chiffre pas les données de ses victimes : elle se contente de les voler en exploitant de manière industrialisée des vulnérabilités affectant notamment des systèmes de partage et de synchronisation de fichiers exposés directement sur Internet.

La dernière campagne en date de Cl0p remonte à décembre 2025, avec l’exploitation d’une vulnérabilité concernant le système CentreStack de Gladinet. 

Les données collectées par le service de gestion de la surface d’attaque exposée Onyphe ne nous ont pas permis d’identifier une instance CentreStack de Gladinet exploité par la CFDT. Les données d’Onyphe ne sont toutefois pas totalement exhaustives.

Le 14 février, Cl0p a revendiqué plus d’une vingtaine de victimes, dont la CFDT. Les données d’Onyphe font ressortir que bon nombre d’entre elles ont effectivement exploité une instance CentreStack. De quoi suggérer fortement que ce lot de revendications est lié à sa campagne de décembre dernier.

Dans son communiqué, la CFDT n’indique pas quand elle a découvert l’attaque informatique dont elle se dit victime, ni quand elle est effectivement survenue.