ANTS : un hacker éthique a alerté deux fois, l’agence n’a rien corrigé

Le témoignage est tombé sur France Bleu Hérault le 22 avril 2026 ^[1], deux jours après la confirmation officielle d’une fuite massive au portail de l’Agence nationale des titres sécurisés ^[2]. Léo Gonzalez ^[3], co-fondateur de l’entreprise montpelliéraine Devensys Cybersecurity ^[4], y a lâché une phrase qui replace toute la chronologie sous un jour différent: « Personnellement, je leur ai remonté déjà deux failles de sécurité critiques qui n’ont jamais été corrigées » ^[5].

LES ENJEUX

Deux failles signalées, aucune corrigée

Léo Gonzalez affirme avoir remonté deux vulnérabilités critiques à l'ANTS. L'une fonctionnait encore le 22 avril au matin.

11,7 millions de comptes exposés

Le ministère de l'Intérieur confirme officiellement le volume. L'attaquant revendique jusqu'à 19 millions de lignes.

Une faille IDOR basique, n°1 de l'OWASP

Changer un chiffre dans l'URL suffisait pour lire le profil d'un autre citoyen. Classée Broken Access Control, risque n°1 depuis 2021.

Sept mois d'inaction depuis la première alerte

Dès septembre 2025, une base présentée comme issue de l'ANTS circulait sur le dark web. L'agence se déclarait alors sous vigilance permanente.

Phishing industrialisé à venir

Noms, dates de naissance, emails authentiques: le matériau idéal pour des campagnes d'hameçonnage personnalisées sur plusieurs années.

Pire: l’une d’elles fonctionnait encore le matin même. « Il y en a une qui est toujours disponible ce matin, j’ai vérifié à 7h avant de venir » ^[6], a précisé l’expert. Le 15 avril 2026 ^[7], un attaquant se présentant sous le pseudonyme breach3d ^[8] avait aspiré les données de comptes liés à l’ANTS en exploitant une vulnérabilité dite IDOR ^[9] - il suffisait, selon les chercheurs, de changer un chiffre dans l’URL pour lire le profil d’un autre citoyen ^[10].

Une faille « stupide », connue depuis des années

L’attaquant lui-même a qualifié la brèche de « faille vraiment stupide » ^[11]. Baptiste Robert ^[12], hacker éthique et expert en cybercriminalité, a décrit le mécanisme dans La Dépêche: « Chaque profil sur le site est identifié par un numéro dans l’URL. Le pirate a simplement modifié ce numéro pour accéder à d’autres comptes » ^[13]. En automatisant l’opération, l’attaquant a récupéré les données « de millions d’utilisateurs » ^[14].

L’IDOR, dans le référentiel OWASP

Le type de vulnérabilité exploitée, IDOR (Insecure Direct Object Reference) ^[9], n’a rien d’ésotérique. Il figure dans le référentiel OWASP ^[15], la liste de référence mondiale publiée par l’Open Web Application Security Project, que tout auditeur sécurité consulte en priorité. C’est le premier scénario qu’un pentesteur teste sur une application web: incrémenter un identifiant dans une URL pour vérifier si le serveur contrôle bien l’autorisation d’accès. « C’est une faille basique, mais redoutable quand elle n’est pas corrigée » ^[16], résume Baptiste Robert.

La qualifier de « basique » sur un portail d’État gérant plus de onze millions de comptes a une conséquence juridique directe. L’article 32 du RGPD impose au responsable de traitement de mettre en œuvre des mesures de sécurité « appropriées au risque »; laisser ouverte une vulnérabilité documentée, signalée par un chercheur externe, relève de la faute caractérisée. L’article 226-17 du Code pénal réprime d’ailleurs le manquement à cette obligation de sécurité des données personnelles.

En parallèle, IT Social a documenté une autre anomalie persistante: la configuration DMARC du domaine ants.gouv.fr affiche p=none ^[17], un mode observation qui n’applique aucune politique anti-usurpation, et ce depuis au moins juillet 2019 ^[18]. Le signalement émane de Loïc Guezo ^[19], directeur de la stratégie cybersécurité chez Proofpoint ^[20] et vice-président du CLUSIF ^[21].

Sept mois entre l’alerte et l’intrusion

Le précédent aurait dû servir d’alarme. En septembre 2025 ^[22], des pirates avaient déjà mis en vente sur le dark web un fichier présenté comme issu de l’ANTS ^[23]. IT Social évoque une base de 12 à 13 millions d’enregistrements ^[24]; Korben retient le chiffre de 12 millions ^[25]. L’écart sur ce premier épisode reflète la difficulté à cerner des corpus vendus par fragments sur les forums cybercriminels.

À l’époque, l’agence s’était défendue: « Aucune intrusion n’avait été détectée dans ses systèmes » ^[26], et les données présentées « présentaient des incohérences » ^[27]. Le 22 septembre 2025 ^[28], l’ANTS se targuait même, dans un communiqué, de faire « l’objet de mesures de sécurité renforcées et d’une vigilance permanente des services de l’État contre toute intrusion, physique ou informatique » ^[29]. Cette ligne a été maintenue jusqu’au 6 mars 2026 ^[30]. Sept mois ^[31] séparent l’alerte dark web initiale de la confirmation de l’intrusion d’avril 2026.

« Vigilance permanente » contre signalements ignorés: l’arbitrage impossible

Comment concilier la posture officielle - une agence placée sous « vigilance permanente » ^[29], réitérée le 6 mars 2026 ^[30] - avec le témoignage d’un chercheur affirmant avoir signalé deux vulnérabilités critiques ^[5] dont une était encore active le 22 avril 2026 ^[6]? La question du canal emprunté par Léo Gonzalez ^[3] n’a pas été publiquement précisée à ce stade: France Bleu Hérault ^[1] ne détaille ni la forme des signalements, ni les dates auxquelles ils ont été transmis, ni la réponse éventuelle de l’agence. Sollicitée sur la teneur des échanges, l’agence n’a pas apporté de démenti public; elle n’a pas non plus confirmé avoir accusé réception. Ce silence laisse intact le constat de l’expert.

11,7 millions, 18 millions, 19 millions: la bataille des chiffres

Le ministère de l’Intérieur, dans son communiqué du 21 avril ^[32], retient officiellement 11,7 millions de comptes ^[33]. L’attaquant revendique de son côté 19 millions de lignes ^[34], et Numerama comme France Info évoquent entre 18 ^[35] et 19 millions d’enregistrements mis en vente ^[36]. L’écart peut s’expliquer par la présence de doublons, de comptes inactifs ou gonflés par le vendeur pour valoriser son butin - aucune source officielle n’a tranché à ce stade.

Les données exposées sont, selon le ministère, « identifiant de connexion, civilité, nom, prénoms, adresse électronique, date de naissance, identifiant unique du compte » ^[37], parfois complétées par « adresse postale, lieu de naissance, téléphone » ^[38]. Les pièces jointes et les données biométriques auraient été épargnées ^[39]. L’Intérieur assure que ces éléments « ne permettent pas d’accès illégitime au compte du portail » ^[40] - une formule qui laisse intact le risque principal identifié par les experts.

Le vrai danger: la mécanique du phishing industrialisé

« Le vrai danger, c’est leur réutilisation pour des campagnes de phishing plus crédibles, car les escrocs peuvent personnaliser leurs messages avec de vraies données » ^[41], prévient Baptiste Robert. Le scénario à redouter est désormais documenté dans toutes les suites d’incidents de grande ampleur: les données fuitées peuvent être croisées avec d’autres bases déjà en circulation pour reconstituer des profils enrichis, puis exploitées par des kits d’hameçonnage automatisés qui injectent nom, prénom, date de naissance et email dans des gabarits sur mesure.

Concrètement, une victime pourra recevoir un email affichant noreply@ants.gouv.fr en expéditeur, l’interpellant par son nom civil complet, lui rappelant sa date de naissance exacte et l’invitant à « revalider » un passeport ou une carte grise via un lien cliquable. L’ergonomie d’un tel message - indiscernable d’une communication officielle pour un œil non averti - repose entièrement sur la crédibilité du domaine expéditeur. Or la configuration DMARC du domaine ants.gouv.fr est paramétrée sur p=none ^[17] depuis au moins juillet 2019 ^[18]: le serveur destinataire reçoit le message, constate qu’il ne vient pas d’un serveur légitime, mais n’applique aucune mesure - ni rejet, ni mise en quarantaine. L’email atterrit dans la boîte de réception. Multipliée par 11,7 millions ^[33] d’identités, cette combinaison ouvre plusieurs années de campagnes d’hameçonnage ciblé.

Une série noire qui devient systémique

L’affaire s’inscrit dans une cascade d’incidents. Korben recense plus de 91 millions de lignes fuitées depuis début 2024 ^[42]: 36,8 millions de victimes chez France Travail en mars 2024 ^[43], 33 millions d’assurés sociaux chez Viamedis et Almerys en janvier 2024 ^[44][45], 1,2 million de dossiers chez Pajemploi en novembre 2024 ^[46], 8,6 millions de comptes perdus par la CAF en décembre 2025 ^[47]. Pour un pays de 68 millions d’habitants ^[48], l’empilement devient vertigineux.

Me Yann-Maël Larher ^[49], avocat au barreau de Paris spécialiste du droit du numérique, a résumé le sentiment général sur RMC le 21 avril ^[50]: « Ce ne sont plus des défaillances, c’est quelque chose de systématique » ^[51]. Et d’ajouter: « Tous les deux mois, une grande agence de l’État perd nos données » ^[52]. Baptiste Robert ^[12] rejoint ce constat: « Il y a une multiplication d’attaques contre des entités françaises. Le niveau global de cybersécurité n’est pas bon, ni dans le public ni dans le privé » ^[53].

Une précision s’impose sur le précédent France Travail, évoqué par Me Larher: l’avocat rappelle que l’agence a été condamnée « pour avoir perdu plus de 30 millions de données » ^[54], quand Korben chiffre à 36,8 millions les victimes totales recensées lors de l’incident de mars 2024 ^[43]. Les deux chiffres ne sont pas incompatibles: le premier renvoie au périmètre retenu dans la procédure de sanction, le second au total des personnes figurant dans la base exfiltrée. Les sources consultées ne précisent pas le détail de cet arbitrage.

Le paradoxe du « rien à faire »

L’angle mort de cette affaire se niche dans une phrase. Dans l’email envoyé à ses utilisateurs le jour même de la détection ^[55], l’ANTS a conclu par cette formule: « Vous n’avez ainsi aucune démarche à accomplir » ^[56][57]. Le ministère a ensuite recommandé, tout de même, un changement de mot de passe « dans un souci d’hygiène numérique renforcée » ^[58]. Le décalage entre l’injonction rassurante (« rien à faire ») et le risque réel (campagnes de phishing personnalisées sur des années) révèle la fonction politique du communiqué: minimiser la panique plutôt qu’armer les victimes. Me Larher pointe la même asymétrie: « L’État est censé signaler aux gens quand ils sont concernés par une fuite de données, via SMS, appel ou mail, mais peu de gens reçoivent une notification » ^[59].

Entre-temps, le ministre Laurent Nuñez ^[60] a saisi l’Inspection générale de l’administration « pour établir la chaîne de responsabilité » ^[61]. L’expression, précise, annonce la suite judiciaire.

La France n’est pas en retard, elle est exposée

Reste à situer la France dans le paysage mondial. Interrogé sur un éventuel retard hexagonal, Baptiste Robert ^[12] tranche: « Non, ça, c’est faux. C’est une idée reçue. Des pays comme les États-Unis, la Russie ou l’Ukraine subissent des attaques bien plus massives » ^[62]. Le problème, pour Baptiste Robert, n’est pas l’incompétence mais la complexité: « C’est un problème systémique. Ce n’est pas une question d’incompétence, mais de complexité » ^[63]. Et un sous-dimensionnement chronique: « Aujourd’hui, dix personnes doivent parfois protéger 30 000 utilisateurs » ^[64].

Cadre pénal: quelles infractions, quelles peines?

Les suites administratives sont enclenchées. Un signalement a été transmis à la procureure de la République de Paris en application de l’article 40 du code de procédure pénale ^[65] - cet article obligeant toute autorité publique ayant connaissance d’un crime ou d’un délit à en informer le parquet. Les investigations ont été confiées à l’Office anti-cybercriminalité ^[66]. Une notification a été adressée à la CNIL ^[67] au titre de l’article 33 du RGPD ^[68], ainsi qu’une alerte à l’ANSSI ^[69].

Côté attaquant, les qualifications pénales les plus probables relèvent, selon plusieurs sources, des articles 323-1 à 323-3 du Code pénal, qui répriment les atteintes aux systèmes de traitement automatisé de données (STAD). L’article 323-1 punit l’accès ou le maintien frauduleux dans un STAD de trois ans d’emprisonnement et 100 000 euros d’amende, portés à cinq ans et 150 000 euros lorsque l’infraction entraîne la suppression, la modification ou l’extraction de données - cas de figure directement applicable à l’exploitation de la faille IDOR par breach3d. L’article 323-3, qui réprime l’extraction frauduleuse de données, prévoit sept ans d’emprisonnement et 300 000 euros d’amende lorsque le système visé traite des données personnelles mises en œuvre par l’État.

Côté responsable de traitement, l’article 226-17 du Code pénal prévoit cinq ans d’emprisonnement et 300 000 euros d’amende pour le manquement à l’obligation de sécurité imposée par la loi Informatique et Libertés. À cela s’ajoutent les sanctions administratives de la CNIL: jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires mondial annuel au titre de l’article 83 du RGPD. Me Larher rappelle le principe: « L’État s’est piégé un peu lui-même, s’est mis aussi au numérique mais n’a pas tiré les conséquences du RGPD: il est responsable de la protection des données » ^[70]. France Travail a déjà été condamné, rappelle-t-il, « pour avoir perdu plus de 30 millions de données » ^[54].

À ce stade, aucune source consultée ne mentionne de prise de position publique de la CNIL sur ce dossier spécifique, alors que l’agence lui a notifié l’incident au titre de l’article 33 du RGPD ^[68]. Le silence de la Commission - qui dispose pourtant des pouvoirs de contrôle et de sanction les plus directs à l’égard de l’ANTS - constitue en soi une information: le dossier est manifestement encore à l’état d’instruction préliminaire.

L’ANTS, fondée en 2007 ^[71], rebaptisée France Titres en 2024 ^[72], gère le portail qui centralise les demandes de passeports, cartes d’identité, titres de séjour, permis de conduire et certificats d’immatriculation ^[73][74]. Une dizaine d’années de comptes ouverts ^[75]: autant d’identités désormais marchandisées sur le dark web. La question n’est plus de savoir si une nouvelle fuite arrivera. Mais quand, et dans quelle agence.