AgenceEvana
Retour au blog
cybersécuritéfuite de donnéesANTSIDORRGPD

Fuite de données ANTS : 19 millions de Français exposés par une faille « vraiment stupide »

Nathan

Le 15 avril 2026, l'Agence Nationale des Titres Sécurisés (ANTS), rebaptisée France Titres en 2025, a détecté une intrusion sur son portail ants.gouv.fr. Cinq jours plus tard, le ministère de l'Intérieur confirmait officiellement la fuite. Selon les communications officielles, près de 12 millions de comptes seraient concernés. Selon l'attaquant lui-même, qui a mis les données en vente sur un forum cybercriminel, le chiffre réel dépasse 19 millions d'enregistrements.

Cet écart entre la communication institutionnelle et la réalité technique est, à lui seul, le symptôme le plus parlant de cette affaire. Voici ce que l'on sait, comment la faille a été exploitée, ce qu'elle dit de l'état de la sécurité applicative dans l'administration française, et ce que vous pouvez faire concrètement si vous êtes concerné.

Ce qu'est l'ANTS (et pourquoi c'est grave)

L'ANTS (Agence Nationale des Titres Sécurisés) est l'opérateur unique de tous les titres sécurisés français : carte nationale d'identité, passeport, permis de conduire, certificat d'immatriculation (carte grise), titre de séjour. Créée en 2007 et placée sous la tutelle du ministère de l'Intérieur, elle opère le portail ants.gouv.fr, par lequel passent chaque année des dizaines de millions de démarches.

Autrement dit : si vous avez fait une demande ou un renouvellement de carte d'identité, de passeport, de permis ou de carte grise au cours des dernières années par voie dématérialisée, vous avez très probablement un compte sur ce portail. Et très probablement, vos données sont dans la fuite.

Chronologie des faits

Date Événement
15 avril 2026 Détection de l'incident par les équipes de France Titres
16 avril 2026 Un acteur surnommé breach3d revendique l'attaque sur un forum cybercriminel et met les données en vente
20 avril 2026 Le ministère de l'Intérieur confirme publiquement la fuite
21 avril 2026 Le ministère précise que « près de 12 millions de comptes seraient concernés »
Dans les 72h Notification à la CNIL (obligation RGPD) et à l'ANSSI, signalement au procureur de Paris

La faille technique : un IDOR, autrement dit le B.A.-BA

La vulnérabilité exploitée est un IDOR (Insecure Direct Object Reference). C'est une catégorie de faille qui figure dans le Top 10 de l'OWASP depuis plus de dix ans et que tout développeur junior apprend à éviter dès ses premières semaines. L'attaquant lui-même, dans ses communications, a qualifié la faille de « vraiment stupide » (really stupid).

L'IDOR, expliqué sans jargon

Imaginez un immeuble avec 19 millions de boîtes aux lettres, chacune étiquetée BOITE-00000001, BOITE-00000002, jusqu'à BOITE-19000000. Pour récupérer votre courrier, vous présentez à la gardienne le numéro de votre boîte. La gardienne vous remet le contenu de la boîte correspondante, sans vérifier si cette boîte vous appartient vraiment.

C'est, à peu près, ce qui s'est passé sur le portail de l'ANTS.

L'IDOR, expliqué techniquement

L'API de moncompte.ants.gouv.fr utilisait des identifiants numériques séquentiels (ou prévisibles) pour accéder aux profils utilisateurs. Une requête du type :

GET /api/v1/users/1234567/profile HTTP/1.1
Host: moncompte.ants.gouv.fr
Authorization: Bearer <token_utilisateur_attaquant>

renvoyait le profil de l'utilisateur 1234567, sans vérifier que le jeton d'authentification présenté appartenait effectivement à cet utilisateur. Il suffisait à l'attaquant d'être connecté avec son propre compte (légitime), puis d'incrémenter le numéro dans l'URL pour parcourir séquentiellement tous les profils de la base : 1234568, 1234569, etc.

En d'autres termes : l'authentification fonctionnait (vérifier que l'utilisateur est bien connecté), mais l'autorisation n'était pas vérifiée (vérifier que l'utilisateur connecté a le droit d'accéder à cette ressource précise). Un script de quelques dizaines de lignes suffit à exfiltrer des millions d'enregistrements.

Cette distinction authentification/autorisation est la première leçon d'un cours de sécurité applicative. Qu'elle ait été manquée sur un portail gouvernemental centralisant l'identité de dizaines de millions de citoyens interroge sur les processus de revue de code, les audits de sécurité, et plus largement sur la culture de security by design dans les marchés publics informatiques.

Les données exposées

Pour chaque compte, les champs suivants ont été exfiltrés :

  • Identifiant de connexion
  • Civilité (M./Mme)
  • Nom et prénoms
  • Adresse électronique
  • Date de naissance
  • Identifiant unique du compte

Et, pour les comptes où ces champs étaient renseignés :

  • Adresse postale
  • Lieu de naissance
  • Numéro de téléphone

Ce qui n'a pas fuité (selon les communications officielles)

  • Les documents eux-mêmes (copies de CNI, justificatifs de domicile, photos d'identité) ne seraient pas inclus dans la fuite
  • Les mots de passe ne sont pas mentionnés comme compromis (l'attaque a contourné l'authentification, pas volé les credentials)
  • Les numéros de CNI/passeport/permis ne seraient pas non plus dans le lot

Il faut néanmoins prendre ces précisions avec recul : l'enquête technique est en cours, et les communications institutionnelles dans les premiers jours d'un incident sous-estiment fréquemment l'ampleur du dommage.

Êtes-vous concerné ?

Probablement, si :

  • Vous avez créé un compte sur ants.gouv.fr ou moncompte.ants.gouv.fr ces dernières années
  • Vous avez effectué une démarche en ligne de CNI, passeport, permis ou carte grise via le portail
  • Vous avez un compte FranceConnect lié à l'ANTS

À ce stade, l'administration n'a pas encore mis en place de portail officiel de vérification permettant à un usager de savoir si son compte est précisément dans la fuite. C'est une lacune notable de la réponse à incident : le RGPD (article 34) impose une communication « claire et complète » aux personnes concernées lorsque la violation présente un risque élevé pour leurs droits et libertés.

Vérifier via Have I Been Pwned

Have I Been Pwned est le service de référence mondial pour savoir si une adresse email a été compromise dans une fuite connue. Il est maintenu par le chercheur en sécurité australien Troy Hunt et utilisé officiellement par plusieurs gouvernements, dont le gouvernement britannique.

La page haveibeenpwned.com/breach/FrenchCitizens référence actuellement un autre incident : une compilation de septembre 2024 de 28,4 millions d'adresses email françaises issues de plusieurs fuites antérieures. La fuite ANTS d'avril 2026 n'y est pas encore indexée au moment où nous écrivons ces lignes.

Si l'attaquant finit par publier les données en clair, ce qui arrive très fréquemment quelques semaines après une vente ratée ou partielle, elles seront vraisemblablement ajoutées à la base de Have I Been Pwned. Nous vous recommandons de revenir vérifier régulièrement cette page, ainsi que d'utiliser le formulaire de vérification par email sur la page d'accueil du site, dans les semaines et mois à venir.

Que faire concrètement, maintenant

1. Renforcer vos comptes

  • Changez votre mot de passe ANTS si vous en avez un, surtout s'il est réutilisé ailleurs
  • Activez la double authentification sur FranceConnect (via l'application FranceConnect+)
  • Changez le mot de passe de votre adresse email associée au compte ANTS si elle est réutilisée
  • Utilisez un gestionnaire de mots de passe pour générer des mots de passe uniques par service

2. Vous préparer à une vague de phishing ciblé

Avec un nom, une adresse email, une date de naissance et parfois une adresse postale, les attaquants disposent de tout le nécessaire pour construire des campagnes de phishing très personnalisées. Il faut vous attendre, dans les semaines à venir, à recevoir :

  • De faux emails « ministère de l'Intérieur » vous demandant de « vérifier vos informations »
  • De faux SMS « ANTS » vous invitant à cliquer sur un lien pour renouveler un titre
  • Des appels de « fonctionnaires » utilisant vos vraies informations pour gagner votre confiance

Règle d'or : aucun email, SMS ou appel ne doit vous conduire à saisir un mot de passe ou des coordonnées bancaires. En cas de doute, tapez vous-même ants.gouv.fr dans votre navigateur et passez par le portail officiel. Jamais via un lien.

3. Surveiller votre identité

  • Surveillez vos relevés bancaires dans les prochains mois
  • En cas d'usurpation d'identité avérée, signalez-la sur la plateforme Perceval et déposez plainte
  • Signalez tout email de phishing à signal-spam.fr et 33700 pour les SMS

4. Vérifier régulièrement Have I Been Pwned

Inscrivez-vous au service gratuit de notifications de Have I Been Pwned : vous serez alerté automatiquement par email si une adresse qui vous appartient apparaît dans une nouvelle fuite indexée. C'est, aujourd'hui, la meilleure protection passive disponible pour un particulier.

Ce que cet incident dit de l'état de la sécurité publique

Au-delà du cas ANTS, plusieurs enseignements émergent :

Le paradoxe du secure by design

La France s'est dotée depuis 2009 d'une agence nationale (l'ANSSI) dont le rôle est précisément d'élever le niveau de sécurité des systèmes d'information critiques, publics et privés. Elle publie des référentiels exigeants (RGS, SecNumCloud) et audite les opérateurs d'importance vitale. Qu'une faille aussi élémentaire qu'un IDOR puisse persister sur un portail exposant l'identité de dizaines de millions de citoyens suggère que la sécurité applicative n'est pas traitée avec la même rigueur que la sécurité d'infrastructure dans les marchés publics.

La communication institutionnelle versus la réalité

Les premières communications officielles parlaient de « quelques milliers d'usagers potentiellement concernés ». En cinq jours, le chiffre est passé à « près de 12 millions ». L'attaquant, lui, revendique 19 millions. Cette progression par paliers est un classique des réponses à incident : sous-estimer dans les premières heures pour ne pas alarmer, avant d'ajuster à la réalité. Elle dégrade la confiance publique et pénalise, paradoxalement, les usagers qui auraient intérêt à être informés au plus tôt.

Le décalage entre obligations et sanctions

Le RGPD prévoit des sanctions pouvant aller jusqu'à 4 % du chiffre d'affaires mondial pour une entreprise privée ayant manqué à ses obligations de sécurité (article 32). Dans le cas d'une administration publique, la CNIL peut prononcer des amendes jusqu'à 20 millions d'euros. Reste à voir si le régulateur appliquera, à l'État lui-même, la même fermeté qu'aux acteurs privés. Historiquement, les sanctions contre les administrations sont rares et symboliques.

Ce que nous retenons, en tant que professionnels de la sécurité

La fuite ANTS n'est pas une attaque sophistiquée. Ce n'est ni une APT chinoise, ni un zero-day inconnu, ni une compromission d'une chaîne d'approvisionnement complexe. C'est une faille d'écolier, exploitée par un acteur individuel, sur un système centralisant l'identité d'un tiers de la population française.

La question n'est donc pas : « comment empêcher les attaquants sophistiqués ? ». La question est : « pourquoi, en 2026, les bases de la sécurité applicative ne sont-elles toujours pas appliquées sur des systèmes critiques ? ». La réponse tient probablement en trois mots : audit, revue, culture. Audit de sécurité indépendant avant mise en production. Revue de code systématique avec un œil sécurité. Culture d'équipe où la sécurité n'est pas un département séparé, mais un pilier intégré au quotidien.

C'est, incidemment, ce que nous pratiquons chez Evana. Nos audits de sécurité couvrent précisément ce type de vulnérabilité, et nos projets de développement intègrent la sécurité dès la phase de conception. Pas parce que c'est à la mode. Parce que les incidents comme celui-ci sont évitables, pour peu qu'on prenne les bonnes décisions au bon moment.

Sources

Communications officielles

Analyses techniques

Guides et recommandations

Outils de vérification

Références techniques