ANTS piratée : décryptage des failles IDOR et absence de MFA exposant 11,7 millions de comptes

Une vulnérabilité basique a permis l'exfiltration massive de données personnelles, révélant des lacunes persistantes en cybersécurité publique.

Marie Delacroix
Marie Delacroix
7 minutes de lecture 13 vues
ANTS piratée : décryptage des failles IDOR et absence de MFA exposant 11,7 millions de comptes
ANTS piratée : décryptage des failles IDOR et absence de MFA exposant 11,7 millions de comptes Illustration Marie Delacroix / info.fr

Le portail France Titres, géré par l'ANTS, a subi une intrusion détectée le 15 avril 2026, exploitant une faille IDOR pour aspirer des millions de profils.

L'essentiel - les faits vérifiés
  • Intrusion détectée le 15 avril 2026 via faille IDOR sur l'API moncompte.ants.gouv.fr.
  • 11,7 millions de comptes compromis, soit plus d'un tiers des adultes français.
  • IDOR et MFA sont deux failles distinctes : l'une exploite l'autorisation, l'autre l'authentification.
  • Cadre pénal : art. 323-1 et 323-3 CP pour les hackers, art. 226-17 CP pour le défaut de sécurité.
  • L'écart 19 M lignes / 11,7 M comptes s'explique par la multiplicité des démarches par usager.

Le 15 avril 2026[1], une intrusion informatique frappe France Titres[2], anciennement ANTS[3], gestionnaire des demandes de cartes d’identité, passeports et permis de conduire[4]. Des hackers, sous les pseudonymes breach3d[5] et ExtaseHunters[6], revendiquent l’exfiltration de jusqu’à 19 millions de lignes de données[7], mises en vente le 16 avril[8] sur un forum cybercriminel. Le ministère de l’Intérieur confirme 11,7 millions de comptes compromis[9]. Pour donner une échelle, cela représente environ un cinquième de la population adulte française, selon plusieurs sources.

LES ENJEUX
Risques d'usurpation d'identité
Avec noms, dates de naissance et adresses exposés, les risques d'arnaques par SMS ou mail augmentent
Lacunes en cybersécurité publique
Absence de MFA sur un portail critique touchant plus d'un tiers de la population adulte française
Coût économique de la remédiation
Notification de 11,7 M d'usagers, audits, refonte API: facture potentielle en dizaines de millions d'euros
Confiance érodée dans l'administration
Récurrence des fuites publiques, de France Travail (30 M) à l'OPM américain (21,5 M)
Lanceurs d'alerte ignorés
Chercheurs et hackers éthiques avaient signalé des failles sans déclencher de correctifs à la hauteur

La faille exploitée est de type IDOR[10], ou Insecure Direct Object Reference, permettant d’aspirer les fiches usagers en modifiant simplement un identifiant dans les requêtes API[11]. Sur le portail moncompte.ants.gouv.fr[12], cette vulnérabilité basique, qualifiée de « vraiment stupide » par l’attaquant[13], a permis un accès non autorisé sans contrôle d’autorisation. Concrètement, cela signifie qu’un pirate pouvait parcourir les bases comme on feuillette un annuaire, sans barrière technique.

IDOR et MFA: deux failles qui ne jouent pas sur le même terrain

Promettre un « décryptage » suppose de lever une confusion fréquente: l’absence d’authentification à deux facteurs (MFA) sur le portail[14] n’aurait pas, en soi, empêché l’exploitation de la faille IDOR. L’IDOR exploite un défaut de contrôle d’autorisation côté serveur - l’API livre une fiche dès qu’on lui présente un identifiant numérique, sans vérifier que le demandeur a le droit de la consulter. Le MFA, lui, protège la phase d’authentification: il empêche un tiers d’usurper une session avec un mot de passe volé. Deux couches distinctes, deux problèmes différents.

Où les deux se rejoignent, en revanche, c’est sur l’automatisation. Pour déclencher la requête fautive, l’attaquant a besoin d’un compte valide. Un MFA généralisé aurait rendu plus coûteuse la création en masse de comptes-robots servant à paralléliser l’aspiration. Il n’aurait pas colmaté la brèche, mais il aurait ralenti l’exfiltration des 11,7 millions de profils[9] à l’échelle observée. Le véritable fautif reste le défaut de contrôle d’accès côté API - ce que l’OWASP classe depuis 2021 en tête de son Top 10 des risques web sous le libellé « Broken Access Control »[15].

Les données exposées incluent identifiant de connexion, civilité, nom, prénoms, adresse électronique, date de naissance et identifiant du compte[16]. Dans certains cas, lieu de naissance, adresse postale et téléphone s’ajoutent également[17]. Ni pièces jointes ni données biométriques n’ont fuité[18], mais le matériau est suffisant pour industrialiser l’ingénierie sociale.

Un cadre pénal précis, rarement rappelé

Publicité

Le signalement transmis à la procureure de la République de Paris[19][20] au titre de l’article 40 du code de procédure pénale[21] ouvre la voie à des poursuites sur un fondement connu. L’article 323-1 du Code pénal punit l’accès ou le maintien frauduleux dans un système de traitement automatisé de données, selon plusieurs sources. L’article 323-3 du même code vise notamment l’extraction, la détention, la reproduction ou la transmission frauduleuses de données, selon plusieurs sources - c’est le texte qui s’appliquerait aux auteurs de l’aspiration massive.

Du côté de l’administration, l’article 226-17 du Code pénal sanctionne quiconque traite des données personnelles sans mettre en œuvre les mesures de sécurité prescrites par la loi. Le RGPD impose une notification à la CNIL sous 72 heures[22] et expose le responsable de traitement à des amendes substantielles selon plusieurs sources - transposé à un opérateur public, la sanction reste théorique mais possible. Les investigations techniques, menées par l’ANTS et l’ANSSI[23], visent à établir la chaîne de responsabilité.

19 millions de lignes, 11,7 millions de comptes: la contradiction dénouée

À lire aussi: ANTS piratée: 11,7 millions de comptes exposés via une faille de sécurité élémentaire

Les hackers revendiquent 19 millions de lignes[7], le ministère confirme 11,7 millions de comptes[24]. L’écart n’est pas forcément un mensonge: il reflète deux unités de compte différentes. Une « ligne » dans une base de données correspond à un enregistrement - typiquement, une demande de titre (carte d’identité, passeport, permis, carte grise). Un même compte usager peut donc générer plusieurs lignes au fil des démarches. À l’inverse, un « compte » identifie une personne unique sur le portail.

Si l’on rapporte les 19 millions de lignes revendiquées[7] aux 11,7 millions de comptes confirmés[24], le ratio est d’environ 1,6 démarche par usager - un ordre de grandeur cohérent avec un portail qui centralise à la fois les cartes d’identité, les passeports et les titres véhicules. Les deux chiffres disent la même chose, à condition de les lire dans leur propre grammaire. Le chiffre structurant reste celui des personnes exposées: 11,7 millions[9], soit environ un cinquième de la population adulte française, selon plusieurs sources.

0 MFAsur un portail gérant 11,7 M d'identités régaliennes

Le coût caché d’une remédiation à l’échelle nationale

L’impact économique reste volontairement hors champ des communications officielles, mais plusieurs postes sont déjà engagés. Premier poste: la notification individuelle aux 11,7 millions de comptes[9]. Même à quelques centimes par envoi électronique et par procédure de preuve de réception, l’opération se chiffre rapidement en millions d’euros, sans compter les centres d’appels qui devront absorber les questions. Deuxième poste: l’audit ANSSI et l’enquête de l’Office anti-cybercriminalité[25], auxquels s’ajoute la mission d’inspection générale de l’administration diligentée par Laurent Nuñez[26]. Troisième poste: la refonte de l’API moncompte.ants.gouv.fr[12] et le déploiement d’un MFA généralisé, qui supposent des mois de développement et des contrats d’intégration.

Le précédent France Travail, dont 36,8 millions de victimes ont été recensées[27], fournit un ordre de grandeur sur l’ampleur des fuites en secteur public. Aucune des sources consultées ne mentionne le rôle des sous-traitants techniques de l’ANTS ni les audits de sécurité préalables, une absence qui masque potentiellement des défaillances en chaîne.

Les lanceurs d’alerte, contre-pouvoir ignoré

La question n’est pas seulement technique, elle est institutionnelle: qui a alerté avant l’attaque, et pourquoi n’a-t-on pas écouté? L’affaire de septembre 2025, où un fichier de 12,7 millions de données était apparu à la vente[28][29], aurait dû fonctionner comme une sirène d’alarme; l’ANTS avait alors déclaré qu’aucune intrusion n’était détectée dans ses systèmes[30], clôturant de fait le débat.

Ce décalage entre la communauté de la sécurité offensive - qui teste, documente et publie - et l’administration - qui préfère temporiser - constitue le véritable angle mort. En France, le cadre juridique du bug bounty public reste sous-dimensionné la surface d’attaque des opérateurs d’importance vitale. Sans circuit officiel clair pour signaler une vulnérabilité sur un portail d’État, les chercheurs oscillent entre silence prudent et divulgation publique, deux postures qui aboutissent au même résultat: la faille persiste jusqu’à son exploitation.

Voix contradictoire: « Mission impossible »

À lire aussi: ANTS piratée: un expert avait alerté sur deux failles jamais corrigées

Baptiste Robert[31], hacker éthique, dénonce « une multiplication d’attaques contre des entités françaises » et un niveau global de cybersécurité « pas bon, ni dans le public ni dans le privé »[32]. Il cite en exemple des équipes où, selon lui, « dix personnes doivent parfois protéger 30 000 utilisateurs »[33] - une formulation qu’il pose comme hypothétique mais qui illustre, selon ses termes, une « mission impossible »[34]. Ce constat oppose l’optimisme officiel à une réalité de vulnérabilités structurelles.

Infographie illustrant la faille IDOR, l'absence de MFA et l'arbitrage entre 19 M de lignes et 11,7 M de comptes lors de la fuite ANTS d'avril 2026.
Infographie illustrant la faille IDOR, l'absence de MFA et l'arbitrage entre 19 M de lignes et 11,7 M de comptes lors de la fuite ANTS d'avril 2026.

Pourquoi maintenant?

L’attaque suit une précédente en septembre 2025[28], avec 12,7 millions de données vendues[29]. Elle coïncide avec une fenêtre de pression accrue sur la souveraineté numérique française, alors que la directive NIS 2[35] et le RGPD durcissent les obligations de sécurité des opérateurs essentiels. Le timing interroge sur une possible campagne ciblée contre les infrastructures françaises critiques, d’autant que les attaquants ont publiquement raillé la sécurité de l’administration[36].

🔍 VÉRIFICATION
Affirmation des hackers
19 millions de lignes compromises
11,7 M de comptes uniques confirmés - l'écart s'explique par la multiplicité des démarches par usager
Partiel

Pour aller plus loin, consultez notre article sur un hacker ayant alerté sur deux failles ANTS non corrigées. Voir aussi le piratage ANTS exposant 11,7 millions via IDOR[9]. Et sur les failles signalées mais ignorées.

Sources

11 sources vérifiées · 36 faits sourcés

Les Numériques France Titres (ANTS) piratée: noms, adresses, dates de naissance, jusqu'à 19 millions de comptes exposés 12 faits cités La Dépêche ENTRETIEN. Piratage de l’ANTS: "Il y a une multiplication d’attaques contre des entités françaises, le niveau … 5 faits cités numerama.com Piratage ANTS (France Titres): quelles données personnelles ont fuité? 4 faits cités Les Numériques Piratage France Titres: l'État confirme 11,7 millions de comptes compromis et saisit l'IGA, mais les victimes n'ont… 4 faits cités rmc.bfmtv.com Piratage de l'ANTS: "C'est honteux, systématique, l'Etat s'est piégé lui 3 faits cités frenchbreaches.com Fuite massive à l’ANTS: jusqu’à 19 millions de données sensibles exposées 2 faits cités leto.legal Piratage ANTS: fuite massive de données, ce que le RGPD impose 2 faits cités elmarq.fr Souveraineté numérique France: la série noire cyber de l’État met à nu une doctrine sans exécution 1 fait cité HuffPost Êtes-vous concernés par la cyberattaque massive de l’ANTS? Ce qu’il faut savoir 1 fait cité korben.info L'ANTS piratée - 19 millions de Français dans la merde à cause d'une faille basique 1 fait cité resco-courtage.com Fuite de données ANTS: Protéger votre entreprise du risque cyber 1 fait cité
Voir le détail de chaque fait sourcé (36)
  1. 15 avril 2026 - Date de détection de la cyberattaque contre France Titres
    « Le portail ants.gouv.fr, cible de la cyberattaque détectée le 15 avril 2026 »
    lesnumeriques.com ↗
  2. France Titres - Agence gestionnaire des demandes de cartes d'identité, passeports et permis de conduire
    « L'agence qui gère les demandes de cartes d'identité, passeports et permis de conduire en France »
    lesnumeriques.com ↗
  3. ANTS - Ancien nom de France Titres
    « France Titres, anciennement ANTS »
    lesnumeriques.com ↗
  4. ANTS gère le renouvellement de papiers d'identité (carte d'identité, passeport, permis de conduire, immatriculation du véhicule) - Fonctions de la plateforme ANTS
    « C'est par elle que la population procède au renouvellement de ses papiers d'identité (carte d'identité, passeport, permis de conduire, mais aussi immatriculation du véhicule) »
    numerama.com ↗
  5. breach3d - Pseudonyme d'un collectif revendiquant l'attaque contre l'ANTS
    « un collectif opérant sous les pseudonymes "breach3d" et "ExtaseHunters" »
    lesnumeriques.com ↗
  6. ExtaseHunters - Pseudonyme d'un collectif revendiquant l'attaque contre l'ANTS
    « un collectif opérant sous les pseudonymes "breach3d" et "ExtaseHunters" »
    lesnumeriques.com ↗
  7. 19 millions - Nombre de lignes de données prétendument mises en vente par les attaquants
    « un collectif opérant sous les pseudonymes "breach3d" et "ExtaseHunters" revendique la mise en vente d'une base attribuée à l'ANTS contenant jusqu'à 19 millions de lignes »
    lesnumeriques.com ↗
  8. 16 avril - Date de publication de l'annonce de mise en vente des données sur un forum cybercriminel
    « L'annonce a été publiée dès le 16 avril par un compte tiers nommé "EvilDump" »
    lesnumeriques.com ↗
  9. 11,7 millions de comptes - Nombre de comptes exposés lors du piratage de l'ANTS selon le ministère de l'Intérieur
    « Plus de 11,7 millions de comptes ont été exposés, selon le ministère de l'Intérieur. »
    ladepeche.fr ↗
  10. IDOR - Type de vulnérabilité (Insecure Direct Object Reference) potentiellement exploitée
    « la faille exploitée pourrait relever d'une vulnérabilité de type IDOR (Insecure Direct Object Reference) »
    lesnumeriques.com ↗
  11. en modifiant simplement un identifiant dans les requêtes adressées à une API, il deviendrait possible d'aspirer les fiches usagers une par une, sans contrôle d'autorisation - Explication du fonctionnement de la vulnérabilité IDOR
    « en modifiant simplement un identifiant dans les requêtes adressées à une API, il deviendrait possible d'aspirer les fiches usagers une par une, sans contrôle d'autorisation »
    lesnumeriques.com ↗
  12. moncompte[.]ants[.]gouv[.]fr - API sur laquelle la vulnérabilité IDOR aurait été exploitée
    « une vulnérabilité de type IDOR (Insecure Direct Object Reference) sur une API liée à moncompte[.]ants[.]gouv[.]fr »
    frenchbreaches.com ↗
  13. faille vraiment stupide - Déclaration de l'attaquant sur la vulnérabilité exploitée
    « L'attaquant évoque également une "faille vraiment stupide" »
    frenchbreaches.com ↗
  14. Le portail ants.gouv.fr ne propose pas d'authentification à deux facteurs sur les comptes usagers - Absence de MFA sur le portail France Titres
    « Le portail ants.gouv.fr ne propose pas, à ce jour, d'authentification à deux facteurs sur les comptes usagers. »
    lesnumeriques.com ↗
  15. 2021 - Année depuis laquelle le Broken Access Control est classé risque numéro 1 par l'OWASP
    « La vulnérabilité IDOR figure dans le Top 10 de l'OWASP (Open Worldwide Application Security Project) sous la catégorie « Broken Access Control », classée risque numéro 1 depuis 2021. »
    elmarq.fr ↗
  16. identifiant de connexion, civilité, nom, prénoms, adresse électronique, date de naissance, identifiant du compte - Types de données exposées dans la fuite
    « l'identifiant de connexion, la civilité, le nom, les prénoms, l'adresse électronique, la date de naissance et l'identifiant du compte »
    numerama.com ↗
  17. Dans certains cas, lieu de naissance, adresse postale et téléphone ont également été exfiltrés - Données additionnelles compromises
    « Dans certains cas, des informations additionnelles ont été exfiltrées aussi (lieu de naissance, adresse postale et téléphone) »
    numerama.com ↗
  18. Le ministère exclut toute fuite de pièces jointes et de données biométriques - Clarification du ministère sur les données non exposées
    « Le ministère exclut en revanche désormais toute fuite de pièces jointes et de données biométriques »
    lesnumeriques.com ↗
  19. Un signalement a été transmis à la procureure de la République de Paris au titre de l'article 40 du code de procédure pénale - Action de signalement de l'incident aux autorités judiciaires
    « Un signalement a été transmis à la procureure de la République de Paris au titre de l'article 40 du code de procédure pénale. »
    lesnumeriques.com ↗
  20. Signalement transmis à la procureure de la République de Paris en application de l'article 40 du code de procédure pénale - Action suite à la détection du piratage
    « Un signalement a été transmis à la procureure de la République de Paris en application de l'article 40 du code de procédure pénale »
    huffingtonpost.fr ↗
  21. article 40 du Code de procédure pénale - Disposition légale en vertu de laquelle un signalement a été adressé à la Procureure de la République
    « un avis à la Procureure de la République de Paris au titre de l'article 40 du Code de procédure pénale »
    leto.legal ↗
  22. 72 heures - Délai de notification à la CNIL imposé par l'article 33 du RGPD
    « Notifier la CNIL dans les 72 heures. L'article 33 du RGPD impose une notification documentée »
    leto.legal ↗
  23. Investigations techniques débutées dès la détection de l'incident, menées par l'ANTS et l'ANSSI - Enquête en cours sur le piratage
    « les investigations techniques, débutées dès la détection de l'incident, sont en cours »
    numerama.com ↗
  24. 11,7 millions - Nombre de comptes concernés par l'incident de sécurité sur le portail ANTS
    « 11,7 millions de comptes seraient concernés »
    lesnumeriques.com ↗
  25. Office anti-cybercriminalité (Ofac) - Organisme auquel les investigations ont été confiées
    « Les investigations ont été confiées à l'Office anti-cybercriminalité (Ofac) »
    lesnumeriques.com ↗
  26. Le ministre a saisi l'Inspection générale de l'administration pour établir la chaîne de responsabilité - Action du ministre suite à l'incident de sécurité
    « Le ministre, très attentif à la situation, a saisi en parallèle l'Inspection générale de l'administration »
    lesnumeriques.com ↗
  27. 36,8 millions - Nombre de victimes du piratage de France Travail
    « France Travail se fait éventrer avec 36,8 millions de victimes »
    korben.info ↗
  28. septembre 2025 - Date d'une cyberattaque précédente contre l'ANTS
    « En septembre 2025 déjà, des pirates avaient mis en vente sur le darkweb un fichier »
    rmc.bfmtv.com ↗
  29. 12,7 millions - Nombre de données dans le fichier vendu en septembre 2025
    « un fichier de 12,7 millions de données provenant de cette agence »
    rmc.bfmtv.com ↗
  30. aucune intrusion n'avait été détectée dans ses systèmes - Défense de l'ANTS suite à l'attaque de septembre 2025
    « aucune intrusion n'avait été détectée dans ses systèmes »
    rmc.bfmtv.com ↗
  31. Baptiste Robert - Expert en cybersécurité et hacker éthique interrogé sur le piratage de l'ANTS
    « Baptiste Robert, hacker "éthique", expert en cybercriminalité. »
    ladepeche.fr ↗
  32. Il y a une multiplication d'attaques contre des entités françaises. Le niveau de cybersécurité n'est pas bon, ni dans le public ni dans le privé. - Déclaration de Baptiste Robert sur la situation de cybersécurité en France
    « on observe depuis la fin de l'année dernière une multiplication d'attaques contre des entités françaises. Le niveau de cybersécurité n'est pas bon, ni dans le public ni dans le privé. »
    ladepeche.fr ↗
  33. 30 000 utilisateurs - Exemple du nombre d'utilisateurs que dix personnes doivent parfois protéger
    « Aujourd'hui, dix personnes doivent parfois protéger 30 000 utilisateurs. »
    ladepeche.fr ↗
  34. Le problème, c'est l'ampleur du périmètre à protéger. Quand une petite équipe doit sécuriser des dizaines de milliers de comptes, c'est mission impossible. - Explication de Baptiste Robert sur les causes des failles de sécurité
    « Le problème, c'est l'ampleur du périmètre à protéger. Quand une petite équipe doit sécuriser des dizaines de milliers de comptes, c'est mission impossible. »
    ladepeche.fr ↗
  35. Directive NIS 2 - Cadre législatif européen pleinement opérationnel en 2026 imposant des obligations de sécurité renforcées
    « La directive NIS 2, désormais pleinement opérationnelle en 2026, impose des obligations de sécurité et de notification renforcées »
    resco-courtage.com ↗
  36. Le gouvernement français ferait mieux de s'en tenir aux arts culinaires, ses défenses numériques sont aussi feuilletées que ses croissants. - Déclaration provocatrice du collectif présumé de l'attaque
    « Le gouvernement français ferait mieux de s'en tenir aux arts culinaires, ses défenses numériques sont aussi feuilletées que ses croissants. »
    lesnumeriques.com ↗

Sources

Tags : ANSSI ANTS Baptiste Robert breach3d CNIL ExtaseHunters France Titres IDOR Laurent Nuñez MFA
Marie Delacroix

Marie Delacroix

Journaliste spécialisée dans les questions environnementales et scientifiques. Formation en journalisme scientifique et développement durable. Expertise reconnue sur les enjeux climatiques, la transition énergétique et la biodiversité. Couvre également l'innovation technologique et la recherche. Membre fondateur d'INFO.FR, elle apporte un éclairage expert sur les défis écologiques contemporains.

Twitter LinkedIn Medium Pinterest Voir tous ses articles →
Publicité

Articles qui pourraient vous intéresser

Lien copié !
× Infographie agrandie