ANTS piratée : un expert avait alerté sur deux failles jamais corrigées

Léo Gonzalez, co-fondateur de Devensys Cybersecurity, affirme avoir signalé deux vulnérabilités critiques à l'agence avant l'attaque du 15 avril. L'une était encore active le matin de son témoignage.

Maxime Vidal
Maxime Vidal
8 minutes de lecture
ANTS piratée : un expert avait alerté sur deux failles jamais corrigées
ANTS piratée : un expert avait alerté sur deux failles jamais corrigées Illustration Maxime Vidal / info.fr

Un chercheur en sécurité affirme avoir alerté l'ANTS sur deux failles critiques jamais corrigées. Pendant ce temps, 11,7 millions de comptes français étaient aspirés via une vulnérabilité élémentaire.

L'essentiel - les faits vérifiés
  • Léo Gonzalez (Devensys Cybersecurity) a signalé deux failles critiques à l'ANTS avant le piratage du 15 avril 2026 - elles n'ont jamais été corrigées.
  • 11,7 millions de comptes exposés selon le ministère, après une estimation initiale jusqu'à 19 millions par le collectif breach3d et ExtaseHunters.
  • La faille exploitée est de type IDOR : modifier un chiffre dans une URL suffisait pour accéder aux données d'autres usagers. Qualification pénale applicable : art. 323-3 du Code pénal (5 ans, 150 000 euros).
  • La configuration DMARC du domaine ants.gouv.fr était défaillante depuis au moins juillet 2019, soit 2 557 jours avant la brèche.
  • L'ANTS avait publié le 22 septembre 2025 un communiqué vantant ses mesures de sécurité renforcées - sept mois avant la confirmation de l'incident, malgré un démenti de l'ANSSI sur une fuite dark web à cette même période.

Le scénario est accablant. Le 15 avril 2026 [1], le portail ants.gouv.fr [2] - qui centralise les demandes de passeports, cartes d’identité, permis de conduire et titres de séjour [3] - est percé. Cinq jours s’écoulent avant que le ministère de l’Intérieur [4] ne confirme l’incident, le 20 avril [5]. Pendant ce délai, les données de millions d’usagers sont déjà proposées à la vente sur un forum cybercriminel [6].

LES ENJEUX
11,7 millions de comptes exposés
Noms, prénoms, emails, dates de naissance et identifiants de connexion pour 11,7 millions de comptes. Des données suffisantes pour monter des campagnes d'usurpation d'identité.
Faille DMARC depuis 2019
La configuration DMARC du domaine ants.gouv.fr était en mode observation sans politique de rejet depuis au moins juillet 2019 - 2 557 jours avant la brèche.
Deuxième attaque en six mois
L'ANTS avait déjà été citée dans une fuite en septembre 2025, démentie par l'ANSSI. Sept mois plus tard, un incident réel est confirmé sans que les autorités n'expliquent la chronologie.
Absence de politique de divulgation
Aucune VDP (Vulnerability Disclosure Policy) formalisée côté ANTS: les chercheurs éthiques n'ont aucune garantie de réponse ni de délai de correction.

Le bilan officiel: 11,7 millions de comptes [7] exposés selon le ministère, après une estimation initiale allant jusqu’à 19 millions [8] avancée par le collectif breach3d [9] et ExtaseHunters [10] sur les forums criminels. Le collectif se targue d’annoncer « une compromission majeure de l’ANTS » [11] et raille: « malgré leurs mandats sur la ‘sécurité’, leur infrastructure est insuffisante » [12].

Deux failles signalées, jamais corrigées

C’est là que l’affaire bascule. Léo Gonzalez [13], co-fondateur de Devensys Cybersecurity [14], une entreprise montpelliéraine, s’est exprimé sur France Bleu Hérault [15]. Sa déclaration est sans ambiguïté:

« Personnellement, je leur ai remonté déjà deux failles de sécurité critiques qui n’ont jamais été corrigées, il y en a une qui est toujours disponible ce matin, j’ai vérifié à 7h avant de venir. » [16]

Un collègue de Gonzalez va plus loin: « la faille qui a été utilisée par ce pirate, je suis quasi certain de l’avoir déjà vue, spécifiquement celle-ci » [17]. Gonzalez synthétise l’échec: « ils savaient depuis des années qu’ils avaient un niveau de sécurité qui n’était pas haut niveau » [18].

L’agence, rebaptisée France Titres [19], avait pourtant publié un communiqué le 22 septembre 2025 [20] affirmant être soumise à « des mesures de sécurité renforcées et d’une vigilance permanente des services de l’État contre toute intrusion, physique ou informatique » [21]. Sept mois plus tard, la brèche était confirmée.

PROCÉDURE EN COURS
VictimeANTS / France Titres
EnquêteOffice anti-cybercriminalité (OFAC)
SignalementParquet de Paris, 16 avril
StatutEn cours

La faille IDOR: un classique du développement junior

Publicité

Le vecteur d’attaque est techniquement élémentaire. Selon Baptiste Robert [22], hacker éthique et expert en cybercriminalité interrogé par La Dépêche: « C’est une faille dite ‘IDOR’. En clair, chaque profil sur le site est identifié par un numéro dans l’URL. Le pirate a simplement modifié ce numéro pour accéder à d’autres comptes. » [23]

En modifiant un simple identifiant dans les requêtes adressées à une API [24], il devenait possible d’aspirer les fiches usagers une par une, sans contrôle d’autorisation [25]. Les échantillons partagés sur les forums contenaient des identifiants internes séquentiels, indice d’une extraction structurée [26].

Le diagnostic des experts est brutal: « Il n’y avait pas de technique sophistiquée, d’exploit élaboré, mais une faille d’énumération basique que n’importe quel développeur junior est censé avoir appris à bloquer dès ses premières lignes de code. » [27]

Sur le plan pénal, les faits reprochés aux attaquants relèvent d’un cadre précis. Selon plusieurs sources, l’article 323-1 du Code pénal réprime l’accès ou le maintien frauduleux dans un système de traitement automatisé de données, et l’article 323-3 vise l’extraction frauduleuse de données - qualification la plus directement applicable à l’exfiltration de 11,7 millions de fiches. La mise en vente sur un forum cybercriminel ouvre la voie à des poursuites pour recel.

Une récente affaire de cyberattaques en Vendée a rappelé que ce type de vulnérabilité est aussi exploité par des acteurs très peu sophistiqués.

Ce que les données exposées permettent

À lire aussi: ANTS: deux failles signalées par un hacker éthique, jamais corrigées

Les données exfiltrées comprennent: identifiant de connexion, civilité, nom, prénoms, adresse électronique, date de naissance et identifiant unique du compte [28]. Dans certains cas s’ajoutent adresse postale, lieu de naissance et numéro de téléphone [29]. Les comptes professionnels exposent également statut professionnel, numéro SIREN et habilitations [30].

Ce périmètre couvre « l’essentiel de ce qu’un fraudeur cherche pour monter une usurpation d’identité » [31]. Le ministère souligne que ces données « ne permettent pas d’accès illégitime au compte nominatif sur le portail » [32] - mais le risque d’ingénierie sociale reste réel [33]. Un usager peut recevoir un faux courriel se présentant comme l’ANTS, lui demandant de cliquer sur un lien sous prétexte de sécuriser son compte [34]. Les passeports, cartes d’identité et données biométriques n’ont pas fuité [35]. Les pièces jointes transmises lors des démarches sont également exclues du périmètre [36].

Depuis juillet 2019la configuration DMARC p=none du domaine ants.gouv.fr est restée non corrigée jusqu'à la brèche d'avril 2026

Sept mois d’aveuglement documenté

L’attaque d’avril n’est pas isolée. En septembre 2025 [37], des pirates avaient déjà mis en vente sur le darkweb un fichier présenté comme issu de l’ANTS. Les sources divergent sur le volume: 12,7 millions [38] de données selon BFMTV, entre 10 et 12 millions [39] selon Siècle Digital, près de 13 millions [40] selon le HuffPost. L’écart reflète l’incertitude sur le périmètre exact - les différentes sources s’appuient sur des annonces de vendeurs dont les chiffres n’ont pas été officiellement vérifiés. L’ANSSI [41] avait alors formellement démenti en invoquant des incohérences dans les données.

Un démenti qui interroge

Sept mois [42] séparent ce démenti de la confirmation officielle d’avril 2026 [5]. Cette chronologie pose une question centrale: le démenti de l’ANSSI reposait-il sur des métadonnées jugées incohérentes (formats de champs, identifiants non conformes au schéma interne de l’ANTS), ou sur la conviction que les données provenaient d’un agrégat issu de fuites tierces? Aucune des sources consultées ne précise la base technique précise du démenti. Mais la coïncidence entre le périmètre annoncé en septembre 2025 [37] (10 à 13 millions [39][40]) et le bilan officiel d’avril 2026 (11,7 millions [7]) interroge: soit les deux incidents sont indépendants - hypothèse que ni le ministère ni l’ANSSI n’ont explicitement étayée -, soit le démenti de septembre a pu conduire l’agence à ne pas approfondir l’investigation interne. Dans les deux cas, le silence public sur cette question pèse lourd: on se souvient que, dans d’autres affaires récentes, un démenti officiel trop rapide a parfois servi de couverture à une non-enquête.

Une configuration DMARC laissée en veille depuis 2019

Pendant tout ce temps, la configuration DMARC du domaine ants.gouv.fr affichait p=none - mode observation sans politique de rejet ni quarantaine [43]. Cette configuration est documentée depuis au moins juillet 2019 [44], soit près de sept ans avant la brèche.

C’est Loïc Guezo [45], directeur de la stratégie cybersécurité chez Proofpoint et vice-président du CLUSIF, qui a signalé cette anomalie DMARC [45]. Une faille de configuration qui facilite l’usurpation du domaine ants.gouv.fr pour envoyer de faux emails - exploitable précisément avec les données exfiltrées. Certaines sources évoquent à ce titre « 12 millions de données volées » [46]: ce chiffre correspond à un arrondi de l’estimation officielle de 11,7 millions retenue par le ministère [7].

Pour mémoire, l’ANTS [47] a été créée en 2007 [48]. Quiconque a renouvelé un document officiel en France depuis une dizaine d’années [49] dispose d’un compte sur le portail.

VDP: le vide juridique français

Ce que personne ne dit. L’affaire Gonzalez révèle une mécanique institutionnelle préoccupante: les deux failles critiques signalées par Devensys Cybersecurity [14] n’ont jamais été traitées [50]. Derrière ce cas se cache un angle mort réglementaire.

Une VDP - Vulnerability Disclosure Policy, politique de divulgation de vulnérabilités - est, selon plusieurs sources, un canal formalisé par lequel une organisation invite les chercheurs en sécurité à signaler les failles découvertes, avec un accusé de réception, un délai de traitement et des garanties juridiques contre d’éventuelles poursuites pour accès non autorisé. La directive européenne NIS2, transposée en droit français, impose aux entités des obligations de gestion des incidents et de coopération avec les autorités, mais sa traduction opérationnelle en matière de canal de divulgation responsable reste floue pour les opérateurs régaliens français.

Aucune des sources consultées ne mentionne l’existence d’un dispositif de divulgation coordonnée côté ANTS au moment de l’attaque. Un chercheur qui alerte l’agence n’a donc aucune garantie de réponse, aucun accusé de réception opposable. L’ANTS disposait pourtant d’un signalement explicite - et son infrastructure restait vulnérable le matin même où ce signalement était rendu public [16].

Chronologie du piratage de l'ANTS (France Titres): des failles non corrigées au vol de 11,7 millions de comptes entre septembre 2025 et avril 2026.
Chronologie du piratage de l'ANTS (France Titres): des failles non corrigées au vol de 11,7 millions de comptes entre septembre 2025 et avril 2026.

La réponse institutionnelle

Suite à l’incident, le ministère de l’Intérieur a notifié la CNIL au titre de l’article 33 du RGPD [51], transmis un signalement à la procureure de la République de Paris en application de l’article 40 du code de procédure pénale [52], et alerté l’ANSSI [53]. L’Office anti-cybercriminalité (OFAC) [54] est chargé de l’enquête.

Le ministre Laurent Nuñez [55], déclarant être « très attentif à la situation » [56], a saisi l’Inspection générale de l’administration [57] pour établir la chaîne de responsabilité [58]. Le signalement au parquet date du 16 avril [59] - soit le lendemain de la détection.

Il s’agit de la deuxième attaque de cette institution en moins de six mois [60]. Baptiste Robert résume: « Il y a une multiplication d’attaques contre des entités françaises. Le niveau global de cybersécurité n’est pas bon, ni dans le public ni dans le privé. » [61] D’autres opérateurs régaliens ont également subi récemment des exfiltrations massives, dont EDF via un sous-traitant.

Thierry Berthier [62], cofondateur de Hub France IA et expert en cybersécurité, rappelle le contexte: 60 000 vulnérabilités logicielles [63] sont identifiées chaque année, dont 30 % [64] exploitées dans les 24 heures. Face à cette cadence, Baptiste Robert pointe la disproportion des ressources: « Aujourd’hui, dix personnes doivent parfois protéger 30 000 utilisateurs. » [65]

Le portail ants.gouv.fr ne propose toujours pas d’authentification à deux facteurs sur les comptes usagers [66]. Une lacune que partagent plusieurs services numériques publics et privés exposés ces derniers mois.

Les usagers concernés reçoivent une notification individuelle par courriel [67] avec la consigne: « Vous n’avez (.) aucune démarche à accomplir » [68]. Ils sont invités à redoubler de vigilance face à toute sollicitation inhabituelle [69].

Le Parti communiste français [70] appelle le gouvernement à « sortir des logiques de court terme » [70] et exige une maîtrise publique renforcée, dans un communiqué daté du 22 avril 2026 [71]. Aucune voix dissonante n’a émergé côté gouvernemental pour défendre la gestion de la crise - un unanimisme dans la critique qui interroge sur l’absence d’audit de sécurité préventif après l’alerte de septembre 2025 [37].

Sources

14 sources vérifiées · 71 faits sourcés

itsocial.fr L’ANTS confirme un incident cyber: une configuration DMARC inactive depuis au moins 2019 14 faits cités siecledigital.fr Après une cyberattaque contre l'ANTS, des données personnelles pourraient avoir été divulguées 9 faits cités rmc.bfmtv.com Piratage de l'ANTS: les données de près de 19 millions de Français dans la nature? 8 faits cités Les Numériques France Titres (ANTS) piratée: noms, adresses, dates de naissance, jusqu'à 19 millions de comptes exposés 8 faits cités ici.fr Piratage de l'ANTS: "J'ai remonté deux failles de sécurité qui n'ont jamais été corrigées", indique un spécialiste 6 faits cités La Dépêche ENTRETIEN. Piratage de l’ANTS: "Il y a une multiplication d’attaques contre des entités françaises, le niveau … 5 faits cités TF1 Info Portail de l'ANTS piraté: près de 12 millions de comptes concernés, selon le ministère de l'Intérieur 4 faits cités lopinion.fr Piratage de l'Agence nationale des titres sécurisés: « une augmentation significative des cyberattaques contre des… 4 faits cités 20 Minutes Une faille de sécurité à l’ANTS concerne près de 12 millions de comptes 3 faits cités HuffPost Êtes-vous concernés par la cyberattaque massive de l’ANTS? Ce qu’il faut savoir 3 faits cités France Bleu Piratage de l'ANTS: "J'ai remonté deux failles de sécurité qui n'ont jamais été corrigées", indique un spécialiste 2 faits cités kulturegeek.fr Piratage d'ANTS: 12 millions de comptes de Français sont concernés par la fuite de données 2 faits cités pcf.fr Fuite de données à l’ANTS: l'urgence d'une maîtrise publique! 2 faits cités Le Parisien « Aucun système n’est inviolable »: données volées, mode opératoire, risques… Cinq questions sur la cyberattaque du… 1 fait cité
Voir le détail de chaque fait sourcé (71)
  1. 15 avril 2026 - Date de l'incident de sécurité sur le portail ants.gouv.fr
    « Le portail ants.gouv.fr a subi le 15 avril 2026 un incident de sécurité confirmé par le ministère de l'Intérieur. »
    itsocial.fr ↗
  2. ANTS (Agence nationale des titres sécurisés) - Organisme d'État victime de cyberattaque
    « L'organisme d'État chargé de délivrer les documents officiels d'identité, des passeports électroniques et biométriques à la carte nationale d'identité en passant par les titres de séjours ou les permis de conduire »
    leparisien.fr ↗
  3. Agence nationale des titres sécurisés (ANTS) - Organisme à l'origine de la fuite, gère permis de conduire, papiers d'identité, titres de séjour, cartes grises
    « l'Agence nationale des titres sécurisés (ANTS) - qui gère la délivrance des permis de conduire, papiers d'identité, titres de séjour ou encore des cartes grises »
    rmc.bfmtv.com ↗
  4. ministère de l'Intérieur - Autorité ayant confirmé l'incident de sécurité
    « Cinq jours plus tard, le ministère de l'Intérieur confirmait l'incident de sécurité. »
    siecledigital.fr ↗
  5. 20 avril - Date de confirmation officielle de l'incident par le ministère de l'Intérieur
    « Le ministère de l'Intérieur a confirmé le 20 avril qu'un incident de sécurité avait été détecté »
    itsocial.fr ↗
  6. Données de millions d'usagers proposées à la vente sur un forum cybercriminel - Conséquence de la brèche pendant le délai avant annonce officielle
    « Pendant que l'administration pesait ses mots, les données de millions d'usagers étaient déjà proposées à la vente sur un forum cybercriminel. »
    siecledigital.fr ↗
  7. 11,7 millions de comptes - Nombre de comptes concernés par l'incident de sécurité de l'ANTS
    « Au total, "11,7 millions de comptes seraient concernés" par l'incident de sécurité qui a frappé le portail de l'Agence nationale des titres sécurisés (ANTS) »
    tf1info.fr ↗
  8. environ 19 millions - Estimation antérieure du nombre de comptes concernés
    « Le nombre de comptes concernés était auparavant estimé à environ 19 millions. »
    tf1info.fr ↗
  9. breach3d - Pseudonyme de l'acteur malveillant revendiquant la mise en vente de données
    « Un acteur malveillant se présentant sous le pseudonyme « breach3d » »
    itsocial.fr ↗
  10. ExtaseHunters - Pseudonyme d'un collectif revendiquant l'attaque contre ANTS
    « un collectif opérant sous les pseudonymes "breach3d" et "ExtaseHunters" »
    lesnumeriques.com ↗
  11. une compromission majeure de l'ANTS - Déclaration du hackeur à l'origine de la fuite
    « L'un des hackeurs à l'origine de cette fuite se targue d'annoncer "une compromission majeure de l'ANTS" »
    rmc.bfmtv.com ↗
  12. malgré leurs mandats sur la 'sécurité', leur infrastructure est insuffisante - Déclaration du hackeur critiquant la sécurité de l'ANTS
    « de préciser que "malgré leurs mandats sur la 'sécurité', leur infrastructure est insuffisante" »
    rmc.bfmtv.com ↗
  13. Léo Gonzalez - Co-fondateur de l'entreprise montpelliéraine Devensys Cybersecurity, expert en cybersécurité
    « Léo Gonzalez, co-fondateur de l'entreprise montpelliéraine Devensys Cybersecurity »
    ici.fr ↗
  14. Devensys Cybersecurity - Entreprise montpelliéraine cofondée par Léo Gonzalez
    « co-fondateur de l'entreprise montpelliéraine Devensys Cybersecurity »
    ici.fr ↗
  15. mercredi 22 avril 2026 à 7:47 - Date de publication de l'article
    « Publié le mercredi 22 avril 2026 à 7:47 »
    ici.fr ↗
  16. Personnellement, je leur ai remonté déjà deux failles de sécurité critiques qui n'ont jamais été corrigées, il y en a une qui est toujours disponible ce matin, j'ai vérifié à 7h avant de venir - Déclaration de Léo Gonzalez sur les failles non corrigées
    « Personnellement, je leur ai remonté déjà deux failles de sécurité critiques qui n'ont jamais été corrigées, il y en a une qui est toujours disponible ce matin, j'ai vérifié à 7h avant de venir »
    ici.fr ↗
  17. la faille qui a été utilisée par ce pirate, je suis quasi certain de l'avoir déjà vue, spécifiquement celle-ci - Déclaration d'un collègue de Léo Gonzalez sur la faille exploitée
    « la faille qui a été utilisée par ce pirate, je suis quasi certain de l'avoir déjà vue, spécifiquement celle-ci »
    ici.fr ↗
  18. ils savaient depuis des années qu'ils avaient un niveau de sécurité qui n'était pas haut niveau - Affirmation de Léo Gonzalez sur la connaissance de l'ANTS de ses faiblesses
    « ils savaient depuis des années qu'ils avaient un niveau de sécurité qui n'était pas haut niveau »
    francebleu.fr ↗
  19. France Titres - Nouveau nom de l'ANTS depuis 2024
    « de qui dépend l'ANTS (devenu France Titres en 2024) »
    rmc.bfmtv.com ↗
  20. 22 septembre 2025 - Date du communiqué de l'ANTS affirmant ses mesures de sécurité
    « L'ANTS qui se vantait dans un communiqué en date du 22 septembre 2025 »
    rmc.bfmtv.com ↗
  21. qu'opérateur du ministère de l'Intérieur manipulant des données sensibles, l'ANTS fait l'objet de mesures de sécurité renforcées et d'une vigilance permanente des services de l'État contre toute intrusion, physique ou informatique. - Affirmation de l'ANTS dans son communiqué de septembre 2025
    « en tant "qu'opérateur du ministère de l'Intérieur manipulant des données sensibles, l'ANTS fait l'objet de mesures de sécurité renforcées et d'une vigilance permanente des services de l'État contre toute intrusion, physique ou informatique." »
    rmc.bfmtv.com ↗
  22. Baptiste Robert - Expert en cybersécurité et hacker éthique interrogé sur le piratage
    « comme l'indique Baptiste Robert, hacker "éthique", expert en cybercriminalité. »
    ladepeche.fr ↗
  23. C'est une faille dite "IDOR". En clair, chaque profil sur le site est identifié par un numéro dans l'URL. Le pirate a simplement modifié ce numéro pour accéder à d'autres comptes. - Explication technique de la méthode utilisée pour le piratage
    « C'est une faille dite "IDOR". En clair, chaque profil sur le site est identifié par un numéro dans l'URL. Le pirate a simplement modifié ce numéro pour accéder à d'autres comptes. »
    ladepeche.fr ↗
  24. Modification d'identifiants dans les requêtes API permettrait d'aspirer les fiches usagers sans contrôle d'autorisation - Mécanisme de la vulnérabilité IDOR exploitée
    « en modifiant simplement un identifiant dans les requêtes adressées à une API, il deviendrait possible d'aspirer les fiches usagers une par une, sans contrôle d'autorisation »
    lesnumeriques.com ↗
  25. Vulnérabilité de type IDOR sur l'API du portail permettant d'accéder aux fiches d'autres utilisateurs - Vecteur d'attaque décrit par des chercheurs en sécurité indépendants
    « une vulnérabilité de type IDOR sur l'API du portail permettant d'accéder aux fiches d'autres utilisateurs en modifiant un simple identifiant numérique »
    itsocial.fr ↗
  26. Identifiants internes séquentiels dans les échantillons partagés - Indicateur d'une extraction structurée depuis une base de données
    « Les échantillons partagés sur le forum contiennent des identifiants internes séquentiels, ce qui suggère une extraction structurée depuis une base de données »
    lesnumeriques.com ↗
  27. Faille d'énumération basique sans technique sophistiquée - Nature de la vulnérabilité exploitée
    « Il n'y avait pas de technique sophistiquée, d'exploit élaboré, mais une faille d'énumération basique que n'importe quel développeur junior est censé avoir appris à bloquer dès ses premières lignes de code. »
    siecledigital.fr ↗
  28. Données exposées incluent identifiant de connexion, civilité, nom, prénoms, email, date de naissance, identifiant unique du compte - Périmètre des données exposées pour les comptes de particuliers
    « l'identifiant de connexion, la civilité, les nom et prénoms, l'adresse électronique, la date de naissance et l'identifiant unique du compte »
    lesnumeriques.com ↗
  29. Données potentiellement exposées incluent adresse postale, lieu de naissance, numéro de téléphone - Données supplémentaires qui auraient pu fuiter dans certains cas
    « Dans certains cas, l'adresse postale, le lieu de naissance et le numéro de téléphone pourraient également avoir fuité. »
    lesnumeriques.com ↗
  30. Données exposées incluent statut professionnel, SIREN, habilitations pour les comptes professionnels - Champs professionnels exposés dans la base de données
    « Des champs professionnels (statut pro, SIREN, habilitations) apparaissent également, confirmant que les comptes professionnels sont aussi touchés. »
    lesnumeriques.com ↗
  31. nom, prénom, date de naissance, adresse e-mail, identifiant de connexion, identifiant unique du compte - Données exposées pour une usurpation d'identité
    « Ce qui a fuité couvre l' de ce qu'un fraudeur cherche pour monter une usurpation d'identité (nom, prénom, date de naissance, adresse e-mail, identifiant de connexion, identifiant unique du compte). »
    siecledigital.fr ↗
  32. Ces données ne permettent pas d'accès illégitime au compte nominatif sur le portail - Déclaration du ministère sur les données exposées
    « « Ces données ne permettent pas d'accès illégitime au compte nominatif sur le portail », souligne toutefois l'administration »
    20minutes.fr ↗
  33. Risque d'exploitation par ingénierie sociale est réel - Menace identifiée avec les données exposées
    « Le risque d'exploitation par ingénierie sociale est réel. »
    siecledigital.fr ↗
  34. il se peut même que le destinataire se dise être l'ANTS, et qu'il explique que, pour vérifier que votre compte n'a pas été piraté, il faut cliquer sur un lien, etc. - Avertissement de Loïc Guézo sur les faux emails de l'ANTS
    « il se peut même que le destinataire se dise être l'ANTS, et qu'il explique que, pour vérifier que votre compte n'a pas été piraté, il faut cliquer sur un lien, etc. »
    huffingtonpost.fr ↗
  35. Les passeports et cartes d'identité n'ont pas fuité. Ce sont les comptes utilisés pour les démarches administratives sur le site de l'ANTS qui ont été piratés. - Clarification sur ce qui n'a pas été compromis dans le piratage
    « Les passeports et cartes d'identité n'ont pas fuité. Ce sont les comptes utilisés pour les démarches administratives sur le site de l'ANTS qui ont été piratés. »
    ladepeche.fr ↗
  36. ANTS a confirmé que les pièces jointes (photos, justificatifs) n'ont pas été compromises - Réaction officielle de l'ANTS sur l'étendue de la fuite
    « L'ANTS a été claire sur un point, les pièces jointes transmises lors des démarches (photos, justificatifs) n'ont pas été compromises. »
    siecledigital.fr ↗
  37. septembre 2025 - Date d'un incident antérieur de piratage de l'ANTS
    « En septembre 2025 déjà, des pirates avaient mis en vente sur le darkweb un fichier de 12.7 millions de données »
    rmc.bfmtv.com ↗
  38. 12.7 millions - Nombre de données piratées lors d'un incident antérieur en septembre 2025
    « En septembre 2025 déjà, des pirates avaient mis en vente sur le darkweb un fichier de 12.7 millions de données comme provenant de cette même agence, l'ANTS. »
    rmc.bfmtv.com ↗
  39. 10 à 12 millions de Français - Volume de données prétendument issues de l'ANTS dans l'annonce de septembre 2025
    « elle proposait les données de 10 à 12 millions de Français prétendument issues de l'ANTS. »
    siecledigital.fr ↗
  40. près de 13 millions - Nombre de données compromises lors de la cyberattaque de septembre 2025
    « une cyberattaque en septembre 2025, qui avait concerné près de 13 millions de données »
    huffingtonpost.fr ↗
  41. ANSSI - Autorité ayant démenti l'annonce de septembre 2025
    « L'ANSSI avait alors formellement démenti en dénonçant des incohérences dans les données »
    siecledigital.fr ↗
  42. sept mois - Intervalle entre l'alerte dark web de septembre 2025 et la confirmation de l'incident réel en avril 2026
    « une alerte dark web documentée et instruite en septembre 2025 n'a pas produit de détection d'intrusion, puis un incident réel a été confirmé sept mois plus tard. »
    itsocial.fr ↗
  43. Configuration DMARC du domaine ants.gouv.fr affiche p=none en mode observation - La configuration DMARC n'applique aucune politique de rejet ou quarantaine
    « L'enregistrement DMARC (le protocole d'authentification des courriels) du domaine ants.gouv.fr affiche p=none, le mode observation, qui collecte des rapports, mais n'applique aucune politique. »
    itsocial.fr ↗
  44. juillet 2019 - Date depuis laquelle la configuration DMARC inactive est documentée
    « Cette configuration est documentée depuis au moins juillet 2019. »
    itsocial.fr ↗
  45. Loïc Guezo - Directeur de la stratégie cybersécurité chez Proofpoint et vice-président du CLUSIF, qui a signalé le problème DMARC
    « le signal lancé par Loïc Guezo, directeur de la stratégie cybersécurité chez Proofpoint et vice-président du CLUSIF »
    itsocial.fr ↗
  46. 12 millions de données volées - Nombre de données volées lors du piratage de l'ANTS
    « qui pourrait permettre d'usurper même l'identité de l'ANTS à partir des 12 millions de données volées »
    francebleu.fr ↗
  47. Agence nationale des titres sécurisés (ANTS), rebaptisée France Titres - Opérateur public créé en 2007
    « L'Agence nationale des titres sécurisés, créée en 2007 et rebaptisée France Titres, est l'opérateur public »
    itsocial.fr ↗
  48. 2007 - Année de création de l'Agence nationale des titres sécurisés
    « L'Agence nationale des titres sécurisés, créée en 2007 »
    itsocial.fr ↗
  49. une dizaine d'années - Période depuis laquelle les utilisateurs ayant renouvelé des documents officiels disposent d'un compte sur ants.gouv.fr
    « Quiconque a renouvelé l'un de ces documents en France depuis une dizaine d'années dispose d'un compte sur le portail ants.gouv.fr »
    itsocial.fr ↗
  50. Léo Gonzalez a remonté deux failles de sécurité critiques à l'ANTS - Signalement de failles avant le piratage de la semaine précédente
    « Léo Gonzalez affirme qu'il a déjà fait remonter deux failles de sécurité à l'ANTS avant le piratage de la semaine dernière »
    ici.fr ↗
  51. Notification adressée à la CNIL au titre de l'article 33 du RGPD - Réponse réglementaire suite à l'incident du 15 avril 2026
    « Une notification a été adressée à la CNIL au titre de l'article 33 du RGPD »
    itsocial.fr ↗
  52. Signalement transmis à la procureure de la République de Paris en application de l'article 40 du code de procédure pénale - Réponse réglementaire suite à l'incident du 15 avril 2026
    « un signalement transmis à la procureure de la République de Paris en application de l'article 40 du code de procédure pénale »
    itsocial.fr ↗
  53. Alerte envoyée à l'ANSSI - Réponse réglementaire suite à l'incident du 15 avril 2026
    « une alerte envoyée à l'ANSSI »
    itsocial.fr ↗
  54. Office anti-cybercriminalité (OFAC) - Organisme auquel l'enquête a été confiée
    « depuis confiée à l'Office anti-cybercriminalité (OFAC) »
    tf1info.fr ↗
  55. Laurent Nuñez - Ministre de l'Intérieur qui a saisi l'Inspection générale de l'administration
    « le ministre de l'Intérieur Laurent Nuñez a saisi l'Inspection générale de l'administration »
    kulturegeek.fr ↗
  56. très attentif à la situation - Déclaration du ministre Laurent Nuñez concernant l'incident ANTS
    « Le ministre Laurent Nuñez, « très attentif à la situation » »
    20minutes.fr ↗
  57. Inspection générale de l'administration - Organisme saisi pour établir la chaîne de responsabilité dans l'incident
    « a également saisi « en parallèle l'Inspection générale de l'administration pour établir la chaîne de responsabilité »
    20minutes.fr ↗
  58. Saisine de l'Inspection générale de l'administration pour établir la chaîne de responsabilité - Action du ministre de l'Intérieur suite au piratage
    « le ministre de l'Intérieur Laurent Nuñez a saisi l'Inspection générale de l'administration afin d'établir la chaîne de responsabilité »
    kulturegeek.fr ↗
  59. 16 avril - Date du signalement de l'ANTS au parquet de Paris
    « Le parquet de Paris a confirmé avoir reçu un signalement de l'ANTS daté du 16 avril »
    tf1info.fr ↗
  60. Deuxième attaque de l'ANTS en moins de six mois - Fréquence des cyberattaques contre l'institution
    « Il s'agit de la deuxième attaque de cette institution en moins de six mois »
    lopinion.fr ↗
    ⚠️ Note INFO.FR: L'Opinion qualifie l'incident d'avril 2026 de 'deuxième attaque en moins de six mois', mais l'alerte précédente date du 22 septembre 2025 et la brèche confirmée du 15 avril 2026, soit près de sept mois d'écart. La qualification 'moins de six mois' est donc inexacte.
  61. Il y a une multiplication d'attaques contre des entités françaises. Le niveau de cybersécurité n'est pas bon, ni dans le public ni dans le privé. - Déclaration de Baptiste Robert sur la situation de cybersécurité en France
    « on observe depuis la fin de l'année dernière une multiplication d'attaques contre des entités françaises. Le niveau de cybersécurité n'est pas bon, ni dans le public ni dans le privé. »
    ladepeche.fr ↗
  62. Thierry Berthier - Expert en cybersécurité et cofondateur de Hub France IA
    « Thierry Berthier, cofondateur de l'association Hub France IA et expert en cybersécurité et en robotique »
    lopinion.fr ↗
  63. 60 000 vulnérabilités logicielles - Nombre de vulnérabilités identifiées chaque année
    « 60 000 vulnérabilités logicielles sont identifiées chaque année »
    lopinion.fr ↗
  64. 30 % - Pourcentage de vulnérabilités exploitées en 24 heures
    « 60 000 vulnérabilités logicielles sont identifiées chaque année, dont 30 % exploitées en 24 heures »
    lopinion.fr ↗
  65. Aujourd'hui, dix personnes doivent parfois protéger 30 000 utilisateurs. - Illustration du manque de ressources humaines en cybersécurité
    « Aujourd'hui, dix personnes doivent parfois protéger 30 000 utilisateurs. »
    ladepeche.fr ↗
  66. Portail ants.gouv.fr ne propose pas d'authentification à deux facteurs - Absence de mesure de sécurité sur les comptes usagers
    « Le portail ants.gouv.fr ne propose pas, à ce jour, d'authentification à deux facteurs sur les comptes usagers. »
    lesnumeriques.com ↗
  67. Notification individuelle par courriel des personnes concernées - Action de notification mise en place par France Titres
    « les comptes concernés font l'objet d'une notification individuelle par courriel »
    lesnumeriques.com ↗
  68. Vous n'avez (.) aucune démarche à accomplir - Instruction de l'ANTS aux victimes du piratage
    « « Vous n'avez (.) aucune démarche à accomplir », précise l'ANTS dans son email »
    huffingtonpost.fr ↗
  69. Les usagers concernés sont notifiés par mail et invités à redoubler de vigilance - Mesure de notification et de prévention mise en place
    « Les usagers concernés sont notifiés par mail et invités à redoubler de vigilance face à une sollicitation inhabituelle. »
    siecledigital.fr ↗
  70. Parti communiste français - Auteur du communiqué sur la fuite de données de l'ANTS
    « Le Parti communiste français appelle le gouvernement à sortir des logiques de court terme »
    pcf.fr ↗
  71. 22 avril 2026 - Date de publication du communiqué du Parti communiste français
    « Paris, le 22 avril 2026 »
    pcf.fr ↗

Sources

Tags : ANTS Baptiste Robert cyberattaque Devensys Cybersecurity DMARC Faille IDOR France Titres Laurent Nuñez Léo Gonzalez OFAC
Maxime Vidal

Maxime Vidal

Journaliste tech d'info.fr, Maxime Vidal couvre l'écosystème startups, l'intelligence artificielle et la cybersécurité. Formé à Sciences Po Journalisme et ancien pigiste Les Echos Start puis Numerama, il lit les white papers, teste les modèles, et ne confond pas hype d'investisseur et produit qui marche. Sa ligne : séparer les prouesses techniques des déclarations marketing, suivre l'argent, et expliquer la tech sans jargon pour un grand public exigeant.

Voir tous ses articles →
Publicité

Articles qui pourraient vous intéresser

Lien copié !
× Infographie agrandie