CPF : deux frères, 300 comptes piratés, 550 000 euros envolés

« C’est mon frère ! » — l’audience commence par un cri

Mohamed entre dans le box, tout de noir vêtu. Il regarde le tribunal, puis lance une phrase qui résonne encore dans la salle d’audience de Fontainebleau : « C’est mon frère ! » Il ne parle pas d’un complice occasionnel. Il parle de son complice de sang. Son frère, 36 ans, assis quelques mètres plus loin. Tous deux sont poursuivis pour avoir piraté près de 300 comptes CPF — le Compte Personnel de Formation — et détourné plus de 550 000 euros (Le Parisien).

L’affaire commence ici. Pas dans un bureau feutré de la Caisse des Dépôts. Pas dans un rapport d’audit enterré. Mais dans un tribunal correctionnel de Seine-et-Marne, un lundi de mai 2026. Les juges posent des questions. Les frères répondent, se contredisent, parfois se taisent. Les relevés bancaires, eux, ne se taisent pas.

550 000 euros. C’est la somme qui a disparu des comptes de centaines de salariés français. Pas dans un paradis fiscal lointain — dans les méandres d’un système public censé financer la formation professionnelle. Comment ont-ils fait ? Avec quoi ? Et surtout — pourquoi personne ne les a empêchés ?

La méthode : des numéros de sécurité sociale comme clé universelle

Les enquêteurs ont reconstitué le puzzle. Il tient en une phrase : les deux frères utilisaient des numéros de sécurité sociale pour pirater les comptes CPF. Pas de hacking sophistiqué. Pas de code malveillant. Juste une donnée — la plus banale, la plus personnelle — transformée en passe-partout.

Le CPF, c’est un compte individuel rattaché à chaque salarié. Il contient des droits à la formation, exprimés en euros. Des droits que l’on peut utiliser pour se former, se reconvertir, progresser. Sauf que ces droits, une fois crédités, peuvent aussi être détournés.

Les frères ont compris cela avant les autorités. Ils ont collecté des numéros de sécurité sociale — comment ? L’enquête ne le dit pas encore. Peut-être via des fuites de données, des fichiers volés, des complicités internes. Ou plus simplement : en achetant des listings sur des forums clandestins.

Une fois en possession de ces numéros, ils créaient des comptes CPF fictifs ou prenaient le contrôle de comptes existants. Puis ils souscrivaient des formations — des formations qui n’avaient jamais eu lieu. Les organismes de formation, complices ou négligents, encaissaient l’argent. Les frères récupéraient leur part.

300 comptes. 300 victimes. 550 000 euros envolés.

Voilà. La mécanique est simple. La fraude, systémique.

Le profil des frères : petits poissons ou têtes de réseau ?

33 et 36 ans. Deux frères sans casier connu pour ce type de fraude. Rien qui laisse présager un tel détournement. Le tribunal de Fontainebleau les décrit comme des hommes ordinaires. Mohamed travaille. Son frère aussi. Une famille, un toit, une vie apparemment normale.

Pourtant, 550 000 euros ont transité par leurs comptes. Où est passé cet argent ? Les enquêteurs tentent encore de le déterminer. Achats immobiliers ? Dépenses courantes ? Transferts à l’étranger ? Le dossier est ouvert.

« C’est mon frère ! » — Mohamed répète la phrase plusieurs fois. Comme pour dire : je n’étais pas seul. Comme pour partager la responsabilité. Mais le juge insiste. Qui a eu l’idée ? Qui a fourni les numéros de sécurité sociale ? Qui a contacté les organismes de formation ?

Les réponses restent floues. Les deux frères se renvoient la balle. Les preuves, elles, sont là : les virements, les comptes, les 300 profils piratés. La question aujourd’hui n’est plus de savoir s’ils ont fraudé. Mais comment ils ont pu le faire sans être arrêtés plus tôt.

Les victimes : 300 salariés dépouillés sans le savoir

Imaginez. Vous consultez votre compte CPF. Vous constatez que vos droits ont été utilisés. Pour une formation que vous n’avez jamais suivie. Dans un organisme que vous ne connaissez pas. C’est ce qui est arrivé à près de 300 salariés français.

Ils n’ont rien vu venir. Pas d’alerte. Pas de notification. Pas de vérification. Leurs droits à la formation — parfois plusieurs milliers d’euros — se sont volatilisés. Volés par des inconnus qui n’avaient même pas besoin de leur mot de passe. Juste leur numéro de sécurité sociale.

La Caisse des Dépôts, qui gère le CPF, a-t-elle été avertie ? Oui, sans doute. Mais après coup. Une fois que l’argent était déjà parti. Une fois que les frères avaient déjà encaissé.

Les victimes attendent toujours. Un remboursement ? Une explication ? Une reconnaissance ? Le tribunal de Fontainebleau n’a pas encore tranché sur les réparations. Les prévenus risquent de la prison. Mais pour les 300 salariés, le préjudice est double : financier et moral. La confiance dans le système est brisée.

Les failles du système CPF : une porte grande ouverte

Ce n’est pas un accident. C’est un système. Et ce système a des noms.

Le CPF, lancé en 2014, repose sur une plateforme numérique gérée par la Caisse des Dépôts. Chaque salarié y accède via son numéro de sécurité sociale et un mot de passe. Problème : le numéro de sécurité sociale est une donnée quasi publique. Il figure sur les fiches de paie, les documents administratifs, les dossiers médicaux. Il fuit régulièrement lors de cyberattaques.

En 2025, 453 200 atteintes numériques ont été enregistrées en France (Gendarmerie nationale). Une hausse de 87 % en cinq ans. Et début 2026, plus de 23 millions de comptes ont été compromis dans le monde — dont une part significative en France (Frandroid). Le CPF n’a pas été épargné. Les deux frères de Fontainebleau ne sont pas les premiers à exploiter cette faille. Ils ne seront pas les derniers.

Pourquoi le système n’est-il pas plus sécurisé ? Pourquoi l’authentification repose-t-elle encore sur un simple numéro, sans double facteur, sans vérification biométrique, sans notification préalable ? Les réponses sont politiques. Techniques aussi. Mais surtout, budgétaires. Sécuriser le CPF coûte de l’argent. Réparer les dégâts après une fraude aussi. Jusqu’à présent, c’est toujours la deuxième option qui a été choisie.

Les leçons d’une fraude qui aurait pu être évitée

Le tribunal de Fontainebleau rendra son jugement dans les prochaines semaines. Les deux frères risquent plusieurs années de prison. Mais la sentence, aussi sévère soit-elle, ne réparera pas les 300 comptes piratés. Et elle ne colmatera pas la faille — car le problème n’est pas seulement criminel. Il est structurel.

Le CPF est un système vieillissant, mal sécurisé, géré par une administration qui réagit toujours après coup. Les fraudeurs, eux, anticipent. Ils innovent. Ils exploitent. Les deux frères de Fontainebleau ont utilisé des numéros de sécurité sociale. Demain, ce sera l’intelligence artificielle. Après-demain, l’usurpation d’identité via des données biométriques volées.

La question n’est pas de savoir si une nouvelle fraude aura lieu. Mais quand. Et combien de victimes il faudra encore avant que la Caisse des Dépôts ne prenne le problème au sérieux.

L’affaire des deux frères de Fontainebleau est un avertissement. Un signal d’alarme que personne n’a entendu. Ou que personne n’a voulu entendre. Les 300 salariés spoliés attendent. Les juges ont tranché. Mais le véritable verdict — celui de la sécurité du système — n’est pas encore tombé.

Sources :

• Le Parisien — Sylvain Deleuze, « Près de 300 comptes CPF piratés : deux frères soupçonnés d’une fraude à un demi-million d’euros », 13 mai 2026.
• Audience du tribunal correctionnel de Fontainebleau, 11 mai 2026.
• Gendarmerie nationale — Rapport sur les atteintes numériques 2025 (gendarmerie.interieur.gouv.fr).
• Frandroid — « Plus de 23 millions de comptes compromis au premier trimestre 2026 », avril 2026.
• 01net — « 90 millions de comptes français touchés par des violations de données », mars 2026.