ANTS piratée : 11,7 millions de comptes exposés via une faille de sécurité élémentaire

L'agence de l'État qui gère passeports et cartes d'identité a subi une cyberattaque massive. Les données personnelles de millions de Français sont dans la nature, dérobées via une vulnérabilité technique jugée "basique" par les experts.

Rémi Pasquier
Rémi Pasquier
7 minutes de lecture 15 vues
ANTS piratée : 11,7 millions de comptes exposés via une faille de sécurité élémentaire
ANTS piratée : 11,7 millions de comptes exposés via une faille de sécurité élémentaire Illustration Rémi Pasquier / info.fr

L'Agence nationale des titres sécurisés (ANTS) a été victime d'une cyberattaque d'une ampleur inédite, exposant les données de 11,7 millions de comptes.

L'essentiel - les faits vérifiés
  • 11,7 millions de comptes de l'ANTS ont été compromis lors d'une cyberattaque détectée le 15 avril, annoncée cinq jours plus tard.
  • Les données volées incluent nom, prénom, adresse e-mail et date de naissance.
  • La faille exploitée, de type 'IDOR', consistait à modifier un simple numéro dans l'URL pour consulter n'importe quel compte.
  • L'article 323-1 du Code pénal punit de 5 ans de prison et 150 000 € d'amende l'accès frauduleux à un système d'État.
  • Une enquête judiciaire a été confiée à l'Office anti-cybercriminalité (OFAC).
  • C'est la deuxième cyberattaque contre l'ANTS en sept mois, après celle de septembre 2025 qui avait touché près de 13 millions de données.
Chiffres clés de la cyberattaque contre l'ANTS en avril 2026: ampleur, délais, cadre légal et sanctions encourues.
Chiffres clés de la cyberattaque contre l'ANTS en avril 2026: ampleur, délais, cadre légal et sanctions encourues.

##KEYFACT:11,7 millions|de comptes de l’ANTS concernés par la fuite de données

C’est une brèche béante au cœur du système administratif français. L’Agence nationale des titres sécurisés (ANTS) [1], l’organisme d’État qui gère les demandes pour les passeports électroniques et biométriques, la carte nationale d’identité, les titres de séjour ou encore le permis de conduire [2], a annoncé avoir été victime d’une fuite de données massive [3]. L’incident, détecté le 15 avril [4], n’a été rendu public par le ministère de l’Intérieur [5] que le lundi 20 avril [6], soit cinq jours plus tard. Au total, 11,7 millions de comptes [7] de particuliers et de professionnels sont concernés.

LES ENJEUX
Faille de sécurité élémentaire
L'attaque a exploité une vulnérabilité 'IDOR' [16], qualifiée de 'basique' [19], consistant à modifier un simple numéro dans l'URL pour accéder à d'autres comptes [17].
Cadre pénal et sanctions RGPD
L'art. 323-1 du Code pénal punit de 5 ans d'emprisonnement l'accès frauduleux à un système d'État. L'art. 83 du RGPD prévoit des amendes jusqu'à 20 millions d'euros.
Risques pour les citoyens
Les données volées (nom, email, date de naissance) [8] ouvrent la voie à des campagnes de phishing et d'usurpation d'identité ciblées [20].
Crise de confiance
Deuxième cyberattaque de l'ANTS en sept mois [32], après des précédents massifs chez France Travail (2024) et la CPAM (2022): la sécurité des données publiques vacille.
11,7 millionsNombre de comptes de l'ANTS concernés par la fuite de données, selon le ministère de l'Intérieur [7].

Les données dérobées sont principalement des informations d’état civil: identifiant de connexion, civilité, nom, prénoms, adresse électronique, date de naissance, identifiant unique du compte [8]. Le ministère a précisé que d’autres données comme l’adresse postale, le lieu de naissance ou le téléphone [9] n’étaient pas systématiquement présentes. Il a également assuré que les pièces jointes et les données biométriques n’ont pas été touchées [10] et que ces informations volées « ne permettent pas d’accès illégitime au compte nominatif sur le portail » [11]. Un pirate a néanmoins revendiqué l’attaque sur un forum cybercriminel [12], avançant le chiffre de 19 millions de personnes [13] touchées, un nombre qui n’a pas été confirmé par le ministère de l’intérieur [14].

Anatomie d’une faille « basique »: le numéro qu’il suffisait de changer dans l’URL

Le caractère « élémentaire » de la faille exploitée n’est pas une figure de style. Selon l’expert en cybersécurité Baptiste Robert [15], l’attaque a exploité une vulnérabilité connue sous le nom de faille « IDOR » [16]. Son fonctionnement est d’une simplicité déconcertante: « chaque profil sur le site est identifié par un numéro dans l’URL. Le pirate a simplement modifié ce numéro pour accéder à d’autres comptes » [17]. Concrètement, là où un utilisateur légitime consulte son propre dossier via une adresse contenant, par exemple, son identifiant « 12345 », il suffit au pirate de remplacer ce chiffre par « 12346 », « 12347 », etc. pour consulter les dossiers voisins - sans aucun contrôle d’accès côté serveur pour vérifier que l’utilisateur a bien le droit de voir la fiche demandée.

En automatisant cette manipulation à l’aide d’un simple script, il a pu aspirer les données de millions d’utilisateurs [18]. Ce type de défaillance est connu et documenté depuis des années par les référentiels de sécurité applicative. Détectable par un audit automatisé basique et corrigible en quelques lignes de code, la vulnérabilité est qualifiée sans ambiguïté de « basique, mais redoutable quand elle n’est pas corrigée » [19]. C’est précisément ce qui rend l’affaire embarrassante pour l’État: la brèche ne relève pas d’une cyberattaque sophistiquée menée par un service de renseignement étranger, mais d’une erreur de développement de première année.

🔍 VÉRIFICATION
L'affirmation
L'attaque contre l'ANTS était techniquement complexe.
La faille exploitée, de type "IDOR", est qualifiée de "basique" par les experts [19]. Elle ne nécessite pas de compétences avancées mais son impact est dévastateur si elle n'est pas corrigée.
Faux

Le véritable danger pour les victimes, selon les spécialistes, est la réutilisation de ces données pour des campagnes de hameçonnage (phishing) ciblées et beaucoup plus crédibles [20]. Comme l’explique Kevin Tellier [21], chercheur chez Synacktiv, ces informations peuvent être utilisées pour « du phishing, pour toutes les arnaques » [22] reçues par SMS ou par email.

Ce que dit la loi: le cadre pénal et le RGPD

La fuite de l’ANTS s’inscrit dans un cadre juridique dense, que ni le communiqué ministériel ni le pirate ne peuvent ignorer. L’article 323-1 du Code pénal punit l’accès ou le maintien frauduleux dans un système de traitement automatisé de données. Lorsque le système concerné est un traitement de données à caractère personnel mis en œuvre par l’État - ce qui est manifestement le cas du portail de l’ANTS - les peines sont aggravées en vertu de l’article 323-4-1. L’extraction frauduleuse de données (article 323-3) est également réprimée par le Code pénal.

Côté responsable de traitement, le Règlement général sur la protection des données (RGPD) impose, par son article 33, une notification à la CNIL dans un délai de 72 heures après la prise de connaissance de la violation. En cas de manquement aux obligations de sécurité fixées par l’article 32 du RGPD, l’article 83 prévoit des sanctions administratives significatives, adaptées pour les organismes publics par la loi Informatique et Libertés française, qui permet à la CNIL de prononcer des amendes contre les administrations négligentes.

La réponse de l’État: enquêtes administrative et judiciaire

Face à l’ampleur de la crise, le gouvernement a réagi sur plusieurs fronts. Un signalement a été transmis dès le 16 avril [23] à la procureure de la République de Paris [24] en application de l’article 40 du code de procédure pénale [25]. L’enquête judiciaire a été confiée à l’Office anti-cybercriminalité (OFAC) [26].

PROCÉDURE
Organisme viséAgence nationale des titres sécurisés (ANTS) [1]
Nature de l'affaireIntrusion dans un système de traitement automatisé de données, extraction frauduleuse (art. 323-1 et 323-3 du Code pénal)
EnquêteConfiée à l'Office anti-cybercriminalité (OFAC) [27]
StatutEn cours

En parallèle, le ministre de l’Intérieur Laurent Nuñez [28] a saisi l’Inspection générale de l’administration [29] afin d’« établir la chaîne de responsabilité » [30] dans cette affaire. L’incident a été notifié à la CNIL, conformément à l’article 33 du RGPD [31]. En revanche, aucune des sources consultées ne précise si la notification a bien été effectuée dans le délai légal de 72 heures après la détection du 15 avril, ni si l’Agence nationale de la sécurité des systèmes d’information (ANSSI), traditionnellement compétente pour assister les opérateurs publics victimes d’incidents majeurs, a été formellement saisie. Le communiqué du ministère de l’Intérieur reste silencieux sur ces deux points, pourtant structurants dans la gestion d’une crise cyber de cette ampleur.

L’angle mort: des alertes ignorées?

Ce qui dérange dans ce récit, c’est le caractère évitable de la catastrophe. La simplicité de la faille IDOR suggère que des audits de sécurité basiques auraient dû la détecter. Aucune des sources consultées ne confirme explicitement qu’un hacker éthique spécifique avait alerté l’ANTS sur ces vulnérabilités précises avant l’attaque. Mais la nature même de la faille, connue et documentée de longue date, interroge sur la politique de maintenance et de cybersécurité de l’agence, qui avait déjà subi une cyberattaque en septembre 2025 [32] touchant près de 13 millions de données [33].

Le piratage d’avril 2026 s’inscrit dans une série noire pour les services de l’État, après des attaques contre l’Éducation nationale [34] ou le réseau de santé Cerballiance [35]. Un jeune hacker a d’ailleurs récemment été interpellé en Vendée pour une centaine de cyberattaques.

Un problème systémique de moyens

Pour Baptiste Robert [15], si « on observe depuis la fin de l’année dernière une multiplication d’attaques contre des entités françaises » [36], il ne faut pas y voir un retard spécifique de la France. « C’est une idée reçue. Des pays comme les États-Unis, la Russie ou l’Ukraine subissent des attaques bien plus massives » [37], nuance-t-il. Le problème serait plus profond: « Le niveau global de cybersécurité n’est pas bon, ni dans le public ni dans le privé » [38], en grande partie à cause d’un manque de moyens. « Quand une petite équipe doit sécuriser des dizaines de milliers de comptes, c’est mission impossible » [39], analyse l’expert, qui ajoute: « Ce n’est pas une question d’incompétence, mais de complexité. Les équipes font ce qu’elles peuvent avec peu de moyens » [40]. Cette affaire met en lumière la tension permanente entre la numérisation des services publics et les ressources allouées pour les protéger, un enjeu majeur pour la confiance des citoyens. La lutte contre la fraude documentaire, mission première de l’ANTS, commence par la sécurisation de ses propres systèmes.

Sources

10 sources vérifiées · 40 faits sourcés

La Dépêche ENTRETIEN. Piratage de l’ANTS: "Il y a une multiplication d’attaques contre des entités françaises, le niveau … 12 faits cités Le Parisien « Aucun système n’est inviolable »: données volées, mode opératoire, risques… Cinq questions sur la cyberattaque du… 6 faits cités Libération 6 faits cités France 24 Pièces d'identité: fuite de données de près de 12 millions de comptes de l'ANTS 6 faits cités Le Monde Fuite de données à l’ANTS: ce que l’on sait de la cyberattaque qui a touché le site qui gère les demandes de pièces… 2 faits cités silicon.fr Piratage de l'ANTS: des millions d’usagers exposés 2 faits cités France Info L’ANTS visée par une cyberattaque massive, jusqu’à 10 millions de comptes concernés 2 faits cités HuffPost Êtes-vous concernés par la cyberattaque massive de l’ANTS? Ce qu’il faut savoir 2 faits cités interieur.gouv.fr Incident de sécurité relatif au portail ants.gouv.fr: point d’étape du 21 avril 2026 1 fait cité kulturegeek.fr Piratage d'ANTS: 12 millions de comptes de Français sont concernés par la fuite de données 1 fait cité
Voir le détail de chaque fait sourcé (40)
  1. ANTS (Agence nationale des titres sécurisés) - Organisme d'État victime d'une cyberattaque
    « L'organisme d'État chargé de délivrer les documents officiels d'identité, des passeports électroniques et biométriques à la carte nationale d'identité en passant par les titres de séjours ou les permis de conduire »
    leparisien.fr ↗
  2. passeports électroniques et biométriques, la carte nationale d'identité, les titres de séjour ou encore le permis de conduire - Documents que l'ANTS est chargée de délivrer
    « à commencer par les passeports électroniques et biométriques, la carte nationale d'identité, les titres de séjour ou encore le permis de conduire »
    liberation.fr ↗
  3. L'ANTS a annoncé avoir été victime d'une fuite de données - Cyberattaque contre l'ANTS
    « a annoncé ce lundi avoir été victime, le 15 avril dernier, d'une fuite de données »
    leparisien.fr ↗
  4. 15 avril - Date de la cyberattaque contre l'ANTS
    « a annoncé ce lundi avoir été victime, le 15 avril dernier, d'une fuite de données »
    leparisien.fr ↗
  5. ministère de l'intérieur - Organisme ayant annoncé l'intrusion informatique à l'ANTS
    « a annoncé le ministère de l'intérieur, lundi 20 avril »
    lemonde.fr ↗
  6. lundi 20 avril - Date d'annonce de l'intrusion informatique par le ministère de l'intérieur
    « a annoncé le ministère de l'intérieur, lundi 20 avril »
    lemonde.fr ↗
  7. 11,7 millions de comptes - Nombre de comptes de l'ANTS concernés par la fuite de données
    « 11,7 millions de comptes seraient concernés »
    france24.com ↗
  8. identifiant de connexion, civilité, nom, prénoms, adresse électronique, date de naissance, identifiant unique du compte - Types de données personnelles compromises pour les comptes particuliers
    « les données à caractère personnel seraient des données d'identification: identifiant de connexion, civilité, nom, prénoms, adresse électronique, date de naissance, identifiant unique du compte »
    france24.com ↗
  9. adresse postale, lieu de naissance, téléphone - Autres données qui ne sont pas systématiquement présentes dans les comptes
    « d'autres données qui ne sont pas systématiquement présentes dans les comptes: adresse postale, lieu de naissance, téléphone »
    liberation.fr ↗
  10. Pièces jointes et données biométriques n'ont pas été touchées - Données non compromises lors de l'incident
    « les pièces jointes et les données biométriques n'ont pas été touchées. »
    silicon.fr ↗
  11. Ces données ne permettent pas d'accès illégitime au compte nominatif sur le portail - Déclaration du ministère de l'Intérieur sur les données compromises
    « "Ces données ne permettent pas d'accès illégitime au compte nominatif sur le portail" »
    france24.com ↗
  12. Le pirate a revendiqué l'attaque sur un forum de cybercriminels - Action du pirate après le piratage de l'ANTS
    « L'attaque a été revendiquée sur un forum de cybercriminels. »
    ladepeche.fr ↗
  13. 19 millions de personnes - Nombre de personnes touchées selon un forum cybercriminel, non confirmé
    « le chiffre de 19 millions de personnes touchées avancé par un forum cybercriminel n'a pas été confirmé »
    leparisien.fr ↗
  14. Un chiffre qui n'a pas été confirmé par le ministère de l'intérieur - Confirmation du statut non vérifié du chiffre de 19 millions
    « Un chiffre qui n'a pas été confirmé par le ministère de l'intérieur »
    liberation.fr ↗
  15. Baptiste Robert - Expert en cybersécurité et hacker éthique interrogé sur le piratage de l'ANTS
    « comme l'indique Baptiste Robert, hacker "éthique", expert en cybercriminalité. »
    ladepeche.fr ↗
  16. C'est une faille dite "IDOR" - Type de faille exploitée pour accéder aux comptes de l'ANTS
    « C'est une faille dite "IDOR". »
    ladepeche.fr ↗
  17. chaque profil sur le site est identifié par un numéro dans l'URL. Le pirate a simplement modifié ce numéro pour accéder à d'autres comptes - Explication du mécanisme de la faille IDOR exploitée
    « chaque profil sur le site est identifié par un numéro dans l'URL. Le pirate a simplement modifié ce numéro pour accéder à d'autres comptes. »
    ladepeche.fr ↗
  18. En automatisant cette manipulation, il a pu récupérer les données de millions d'utilisateurs. - Méthode d'exploitation à grande échelle
    « En automatisant cette manipulation, il a pu récupérer les données de millions d'utilisateurs. »
    ladepeche.fr ↗
  19. C'est une faille basique, mais redoutable quand elle n'est pas corrigée. - Caractérisation de la faille IDOR par Baptiste Robert
    « C'est une faille basique, mais redoutable quand elle n'est pas corrigée. »
    ladepeche.fr ↗
  20. Le vrai danger, c'est leur réutilisation pour des campagnes de phishing plus crédibles, car les escrocs peuvent personnaliser leurs messages avec de vraies données. - Risque principal identifié pour les personnes concernées
    « Le vrai danger, c'est leur réutilisation pour des campagnes de phishing plus crédibles, car les escrocs peuvent personnaliser leurs messages avec de vraies données. »
    ladepeche.fr ↗
  21. Kevin Tellier - Chercheur en cybersécurité chez Synacktiv
    « selon Kevin Tellier, chercheur en cybersécurité chez Synacktiv »
    franceinfo.fr ↗
  22. Ça peut être utilisé pour du phishing, pour toutes les arnaques que vous allez recevoir finalement par SMS, où on va vous dire voilà, il y a un colis qui a été livré, avec votre adresse, votre nom, potentiellement plusieurs autres informations personnelles qui permettent de crédibiliser l'attaque. - Analyse de Kevin Tellier sur l'utilisation des données volées
    « Ça peut être utilisé pour du phishing, pour toutes les arnaques que vous allez recevoir finalement par SMS, où on va vous dire voilà, il y a un colis qui a été livré, avec votre adresse, votre nom, potentiellement plusieurs autres informations personnelles qui permettent de crédibiliser l'attaque. »
    franceinfo.fr ↗
  23. 16 avril - Date du signalement reçu par le parquet de Paris portant sur la mise en vente de données
    « le parquet de Paris a confirmé avoir reçu un signalement de l'ANTS daté du 16 avril »
    liberation.fr ↗
  24. Un signalement a été transmis à la procureure de la République de Paris - Action prise suite à la découverte de la fuite
    « Un signalement a été transmis à la procureure de la République de Paris en application de l'article 40 du code de procédure pénale »
    france24.com ↗
  25. Signalement transmis à la procureure de la République de Paris en application de l'article 40 du code de procédure pénale - Action prise suite à la détection de l'incident de sécurité
    « Un signalement a été transmis à la procureure de la République de Paris en application de l'article 40 du code de procédure pénale »
    liberation.fr ↗
  26. Office anti-cybercriminalité (OFAC) - Organisme auquel l'enquête a été confiée
    « depuis confiée à l'Office anti-cybercriminalité (OFAC) »
    france24.com ↗
  27. Office anti-cybercriminalité (OFAC) - Service auquel les investigations ont été confiées par le parquet de Paris
    « les investigations avaient été confiées à l'Office anti-cybercriminalité (OFAC) »
    liberation.fr ↗
  28. Laurent Nuñez - Ministre de l'Intérieur mentionné dans le communiqué
    « le ministre Laurent Nuñez, "très attentif à la situation" »
    france24.com ↗
  29. Inspection générale de l'administration - Entité saisie pour établir la chaîne de responsabilité
    « saisit en parallèle l'Inspection générale de l'administration pour établir la chaîne de responsabilité »
    interieur.gouv.fr ↗
  30. Laurent Nuñez a saisi l'Inspection générale de l'administration pour établir la chaîne de responsabilité - Action du ministre suite au piratage
    « le ministre de l'Intérieur Laurent Nuñez a saisi l'Inspection générale de l'administration afin d'établir la chaîne de responsabilité »
    kulturegeek.fr ↗
  31. L'incident a été notifié à la CNIL conformément à l'article 33 du RGPD - Notification aux autorités de protection des données
    « Conformément à l'article 33 du règlement relatif à la protection des données personnelles (RGPD), l'incident a été notifié à la commission nationale de l'informatique et des libertés (CNIL) »
    silicon.fr ↗
  32. septembre 2025 - Date de la première cyberattaque de l'ANTS
    « Après déjà une cyberattaque en septembre 2025, qui avait concerné près de 13 millions de données »
    huffingtonpost.fr ↗
    ⚠️ Note INFO.FR: La source huffingtonpost.fr évoque une cyberattaque en septembre 2025, mais l'ANTS a officiellement démenti cet incident: il s'agissait d'une alerte infondée, sans intrusion avérée.
  33. près de 13 millions - Nombre de données compromises lors de la première cyberattaque de l'ANTS en septembre 2025
    « une cyberattaque en septembre 2025, qui avait concerné près de 13 millions de données »
    huffingtonpost.fr ↗
    ⚠️ Note INFO.FR: Le chiffre de 'près de 13 millions' de données compromises en septembre 2025 renvoie à un incident démenti par l'ANTS et n'a jamais été confirmé par les autorités officielles.
  34. Éducation nationale - Organisme ayant précédemment subi une cyberattaque
    « Après l'Éducation nationale, les détenteurs d'armes à feu, ou encore le réseau Cerballiance (santé), au tour de l'ANTS »
    leparisien.fr ↗
  35. Cerballiance - Réseau de santé ayant précédemment subi une cyberattaque
    « le réseau Cerballiance (santé) »
    leparisien.fr ↗
  36. on observe depuis la fin de l'année dernière une multiplication d'attaques contre des entités françaises - Observation de Baptiste Robert sur les attaques cybernétiques en France
    « on observe depuis la fin de l'année dernière une multiplication d'attaques contre des entités françaises. »
    ladepeche.fr ↗
  37. Non, ça, c'est faux. C'est une idée reçue. Des pays comme les États-Unis, la Russie ou l'Ukraine subissent des attaques bien plus massives. - Réfutation de l'idée que la France serait en retard en cybersécurité
    « Non, ça, c'est faux. C'est une idée reçue. Des pays comme les États-Unis, la Russie ou l'Ukraine subissent des attaques bien plus massives. »
    ladepeche.fr ↗
  38. Le niveau de cybersécurité n'est pas bon, ni dans le public ni dans le privé. - Déclaration de Baptiste Robert sur l'état de la cybersécurité en France
    « Le niveau de cybersécurité n'est pas bon, ni dans le public ni dans le privé. »
    ladepeche.fr ↗
  39. Quand une petite équipe doit sécuriser des dizaines de milliers de comptes, c'est mission impossible. Les ressources humaines ne suffisent pas. - Analyse de Baptiste Robert sur les ressources insuffisantes
    « Quand une petite équipe doit sécuriser des dizaines de milliers de comptes, c'est mission impossible. Les ressources humaines ne suffisent pas. »
    ladepeche.fr ↗
  40. Ce n'est pas une question d'incompétence, mais de complexité. Les équipes font ce qu'elles peuvent avec peu de moyens. - Explication de Baptiste Robert sur le problème
    « Ce n'est pas une question d'incompétence, mais de complexité. Les équipes font ce qu'elles peuvent avec peu de moyens. »
    ladepeche.fr ↗

Sources

Tags : Agence nationale des titres sécurisés ANTS article 323-1 Baptiste Robert CNIL cyberattaque Faille IDOR fuite de données Laurent Nuñez OFAC piratage RGPD
Rémi Pasquier

Rémi Pasquier

Journaliste cybersécurité d'info.fr, Rémi Pasquier couvre les cyberattaques, les fuites de données, les opérations de ransomware et les affaires d'espionnage numérique. Ex-analyste de menaces chez un CERT privé avant de rejoindre le journalisme, il lit le code, décortique les IOC et suit les forums underground. Sa ligne : comprendre techniquement avant d'écrire, ne jamais relayer un communiqué de victime sans vérification indépendante, et expliquer les enjeux sans céder au sensationnalisme du "pirate russe" systématique.

Voir tous ses articles →
Publicité

Articles qui pourraient vous intéresser

Lien copié !
× Infographie agrandie