Baptiste Robert : le hacker qui alertait depuis 2017 sur les failles du ministère de l’Intérieur, ignorées jusqu’au piratage de l’ANTS

Le piratage de l’ANTS: une faille basique exploitée

Le 15 avril 2026 ^[2], l’Agence nationale des titres sécurisés (ANTS) ^[3] a détecté une intrusion dans ses systèmes. Un pirate se faisant appeler breach3d ^[4] a exploité une faille IDOR ^[5] - une vulnérabilité élémentaire où chaque profil est identifié par un simple numéro dans l’URL ^[6]. En modifiant ce numéro, il a aspiré les données de 11,7 millions de comptes ^[7], selon le ministère de l’Intérieur ^[8].

LES ENJEUX

IDOR: la faille à 5 euros qui coûte des millions

La faille IDOR [5] figure dans le Top 10 OWASP depuis plus d'une décennie. Détectable par un test manuel, elle reste pourtant fréquente dans les systèmes publics français faute d'audits ciblés. Elle a exposé 11,7 millions de comptes ANTS [7].

MFA: neuf ans d'alerte, zéro correction

L'absence de MFA obligatoire au ministère de l'Intérieur [84][36] avait été signalée en 2017 [35] et inscrite dans un rapport parlementaire [40]. Ignorée, elle a été exploitée en décembre 2025 pour voler 100 fiches du TAJ [48].

Le démenti de 2025 qui interroge

L'ANTS a affirmé en septembre 2025 faire l'objet de « mesures de sécurité renforcées » [55] en démentant une première fuite [53]. Sept mois plus tard, la même faille était exploitée [57] sur le même ordre de grandeur [7].

Cadre pénal: jusqu'à 5 ans et 300 000 €

L'article 323-1 du Code pénal réprime l'accès frauduleux (majoré pour un système d'État). L'article 226-17 punit de 5 ans et 300 000 € le défaut de sécurisation. Le RGPD expose à 4 % du CA mondial.

Le phishing ciblé: le vrai danger

Les données exposées (nom, email, date de naissance) [9] permettent des campagnes de phishing crédibles [11], amplifiées par une configuration DMARC vulnérable depuis 2019 [51].

Les informations volées incluent noms, prénoms, adresses email et dates de naissance ^[9]. Si les documents officiels comme les passeports n’ont pas fuité ^[10], ces données permettent des campagnes de phishing ciblées ^[11]. Le ministère a confirmé que « aucune intervention n’est attendue de la part des usagers » ^[12], mais les appelle à « faire preuve de la plus grande vigilance » ^[13].

IDOR: une faille basique qui coûte des millions

L’IDOR figure depuis plus d’une décennie, selon plusieurs sources, dans le Top 10 de l’OWASP, la référence mondiale des vulnérabilités web les plus critiques. Son principe est d’une simplicité déconcertante: quand l’URL d’un profil ressemble à ants.gouv.fr/compte?id=125847, il suffit de remplacer le numéro par 125848, 125849, et ainsi de suite, pour accéder aux comptes des autres usagers. Aucun outil sophistiqué n’est requis - un navigateur suffit.

Pourquoi une vulnérabilité aussi primaire reste-t-elle aussi fréquente dans les systèmes publics français? D’abord parce que sa détection exige un test manuel que les audits automatisés passent rarement correctement: il faut qu’un humain essaye de modifier un identifiant et vérifie que le serveur refuse l’accès. Ensuite parce que sa correction impose de revoir la logique d’autorisation de chaque endpoint, un chantier coûteux sur des applications héritées. Comme le résume Baptiste Robert, « c’est une faille basique, mais redoutable quand elle n’est pas corrigée » ^[14].

Baptiste Robert: le hacker qui voyait venir la catastrophe

Originaire de Toulouse ^[15], Baptiste Robert, 31 ans ^[16], est un hacker éthique ^[17] connu sous les pseudonymes fs0c131y ^[18] et Elliot Alderson ^[19], référence à la série Mr Robot ^[20]. Diplômé de l’ENSEEIHT ^[21], il a fondé Predicta Lab ^[22], une entreprise spécialisée en OSINT ^[23] comptant une dizaine d’employés ^[24].

Son parcours est jalonné de révélations choc: en 2017 ^[25], il découvre une faille dans les smartphones OnePlus ^[26] permettant un accès total via l’application EngineerMode ^[27]. En 2018 ^[28], il expose une vulnérabilité dans l’application NaMo ^[29], suivie d’une polémique en Inde où l’opposition réclame un débat parlementaire ^[30]. En 2020 ^[31], il révèle deux failles ^[32] dans l’application de traçage Covid Aarogya Setu ^[33], utilisée par des centaines de millions d’Indiens.

MFA: huit ans d’alerte, zéro correction, un piratage

Il faut le dire clairement: l’alerte de 2017 de Baptiste Robert ^[35] ne visait pas spécifiquement l’ANTS, mais le ministère de l’Intérieur dans son ensemble - dont l’ANTS dépend. Le signalement portait sur l’absence d’authentification multifacteur (MFA) obligatoire pour les 300 000 fonctionnaires du ministère ^[36][37]. Le MFA est cette double vérification désormais standard dans le secteur bancaire: un mot de passe plus un code à usage unique envoyé sur un téléphone ou généré par une carte à puce. Sans MFA, une simple fuite de mot de passe ouvre la porte.

La même année, un rapport parlementaire signé des députés Didier Paris ^[38] et Pierre Morel-à-l’Huissier ^[39] recommandait explicitement de « supprimer définitivement l’utilisation des identifiants et mots de passe, et de généraliser à l’ensemble des fichiers l’authentification par la carte professionnelle » ^[40] sur le portail CHEOPS ^[41]. Le ministère a invoqué deux obstacles techniques: « tous les agents n’ont pas de carte à puce » ^[42] et « certains ordinateurs ne sont pas équipés de lecteurs nécessaires » ^[43]. Huit ans plus tard ^[44], ces obstacles budgétaires n’avaient toujours pas été levés.

Le prix de ce renoncement s’est payé une première fois lors de la cyberattaque contre le ministère de l’Intérieur, survenue dans la nuit du 11 au 12 décembre, selon plusieurs sources. Le ministre Laurent Nuñez ^[45] a reconnu le 17 décembre ^[46]: « Ils ont récupéré des mots de passe sur des boîtes mail. Ils ont pu accéder à certains de nos systèmes d’information » ^[47]. Une centaine de fiches du Traitement des Antécédents Judiciaires (TAJ) ^[48][49] ont été dérobées, et une adresse email compromise a servi à annoncer la réouverture du forum BreachForums ^[50]. Avec un MFA généralisé, ce vol de mots de passe aurait été sans effet.

Le démenti de 2025: erreur d’analyse ou mensonge d’État?

En septembre 2025 ^[52], un premier signal d’alarme avait pourtant retenti. Des pirates mettaient en vente sur le dark web un fichier présenté comme extrait des serveurs de l’ANTS, contenant 12 à 13 millions d’enregistrements ^[53]. Le 22 septembre 2025 ^[54], l’agence publiait un communiqué rassurant, affirmant faire « l’objet de mesures de sécurité renforcées et d’une vigilance permanente des services de l’État contre toute intrusion, physique ou informatique » ^[55]. Cette posture officielle a été maintenue jusqu’au 6 mars 2026 ^[56].

Sept mois plus tard, la même faille IDOR est exploitée ^[57], exposant 11,7 millions de comptes ^[7] - soit un ordre de grandeur strictement identique à la fuite prétendument inauthentique de septembre 2025. Trois hypothèses, toutes graves. Soit le périmètre de la fuite de septembre portait déjà sur des données réelles que l’ANTS a qualifiées à tort de non authentiques: c’est une erreur d’analyse technique majeure pour l’agence censée sécuriser les titres régaliens. Soit l’ANTS savait, mais a choisi de démentir pour éviter la panique: c’est un mensonge d’État. Soit l’agence n’a pas eu les moyens techniques de vérifier elle-même ses propres bases: c’est l’aveu d’une incompétence structurelle. Dans les trois cas, la déclaration de « mesures de sécurité renforcées » ^[55] apparaît, rétrospectivement, comme indéfendable.

Cadre légal: ce que dit le Code pénal

Le signalement au parquet, transmis en vertu de l’article 40 du code de procédure pénale ^[58], ouvre un double front judiciaire. D’un côté l’attaquant, de l’autre l’institution.

Pour breach3d ^[4], l’accès frauduleux à un système de traitement automatisé de données relève, selon plusieurs sources, de l’article 323-1 du Code pénal, qui prévoit deux ans d’emprisonnement et 60 000 euros d’amende, peines portées à trois ans et 100 000 euros quand il y a modification ou altération des données, et à cinq ans et 150 000 euros lorsque le système est mis en œuvre par l’État - ce qui est le cas de l’ANTS. L’extraction et la mise en vente des fichiers peuvent y ajouter les qualifications des articles 323-3 et 323-3-1.

Pour l’ANTS et ses responsables, l’article 226-17 du Code pénal punit, selon plusieurs sources, de cinq ans d’emprisonnement et 300 000 euros d’amende le fait de procéder à un traitement de données personnelles sans mettre en œuvre les mesures prescrites pour préserver leur sécurité. À cela s’ajoute, toujours selon plusieurs sources, l’article 32 du RGPD, qui impose une obligation de sécurité proportionnée au risque, et l’article 83 du même règlement, qui expose le responsable de traitement à des amendes administratives pouvant atteindre 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial. La CNIL dispose donc d’un arsenal considérable pour sanctionner la négligence documentée depuis 2017.

L’angle mort: pourquoi personne n’a écouté

Ce que les sources ne disent pas: les alertes de Baptiste Robert et de Léo Gonzalez ^[59] ont été traitées comme des nuisances plutôt que comme des signaux d’urgence. Le co-fondateur de Devensys Cybersecurity ^[60] affirme sans ambiguïté: « Personnellement, je leur ai remonté déjà deux failles de sécurité critiques qui n’ont jamais été corrigées » ^[1]. Le 22 avril 2026 à 7h ^[61], soit une semaine après la révélation de l’attaque, il vérifiait qu’une des failles signalées restait accessible.

Le paradoxe? Baptiste Robert, réserviste citoyen de la gendarmerie ^[62], a rejoint les rangs de la réserve début octobre ^[63] pour « une alliance qui a du sens » ^[64]. Pourtant, ses alertes - qu’elles passent par les canaux institutionnels ou par Twitter - semblent avoir été ignorées avec une constance qui interroge.

La voix contradictoire: l’agence minimise, les experts s’alarment

Baptiste Robert souligne que « le vrai danger, c’est leur réutilisation pour des campagnes de phishing plus crédibles » ^[11]. Kevin Tellier, chercheur en cybersécurité chez Synacktiv ^[65], confirme que les données exposées suffisent à monter des attaques par usurpation d’identité convaincantes, ciblant notamment les démarches administratives en cours.

Loïc Guezo, directeur de la stratégie cybersécurité chez Proofpoint et vice-président du CLUSIF ^[66], pointe un autre angle mort: la configuration DMARC du domaine ants.gouv.fr affichait p=none depuis juillet 2019 ^[51], c’est-à-dire un paramétrage qui n’empêche pas l’usurpation du domaine dans les emails. Des années de porte ouverte aux campagnes de phishing crédibles, au nom même de l’agence.

Un précédent international: l’affaire OPM aux États-Unis

On se souvient de l’affaire OPM (Office of Personnel Management) aux États-Unis: plusieurs millions de fonctionnaires fédéraux américains avaient vu leurs dossiers exfiltrés à la suite d’une chaîne de vulnérabilités non corrigées depuis des années, selon plusieurs sources. Les audits internes avaient alerté, en vain. Aucune démission équivalente n’a pour l’instant été annoncée côté français.

Le parallèle est troublant: dans les deux cas, une administration en charge de données régaliennes, des rapports internes négligés, une faille technique documentée, et une communication institutionnelle de crise sans mise en cause des responsables opérationnels.

Pourquoi maintenant? Le timing politique de la cyberattaque

Le piratage de l’ANTS intervient dans un contexte tendu. En juin 2024 ^[67], Baptiste Robert s’était présenté aux législatives en Haute-Garonne ^[68], avant d’être déclaré inéligible pour un an ^[69] le 11 juillet 2025 ^[70] par le Conseil constitutionnel ^[71]. Cette saison politique s’achève pendant que la France accumule les records de fuite: France Travail (36,8 millions de victimes) ^[72], Viamedis et Almerys (33 millions) ^[73], Pajemploi (1,2 million) ^[74] ou encore la CAF (8,6 millions) ^[75] s’ajoutent désormais à l’ANTS sur une liste déjà longue.

Le ministre Laurent Nuñez ^[76] a saisi l’Inspection générale de l’administration ^[77] pour établir la chaîne de responsabilité. L’enquête a été confiée à l’Office anti-cybercriminalité (OFAC) ^[78]. Le délai de sept mois ^[79] entre la première alerte dark web (septembre 2025) ^[52] et la confirmation officielle (avril 2026) ^[7] reste, à ce jour, sans explication publique.

L’enjeu: la France, cible privilégiée

Baptiste Robert l’affirme: « on observe depuis la fin de l’année dernière une multiplication d’attaques contre des entités françaises » ^[80], et « le niveau global de cybersécurité n’est pas bon, ni dans le public ni dans le privé » ^[81]. « La sécurité maximale, la cybersécurité maximale n’existe pas » ^[82], rappelait-il après la cyberattaque du ministère de l’Intérieur. Une phrase qui résonne aujourd’hui comme un avertissement ignoré.

► Lire aussi: ANTS piratée: décryptage des failles IDOR et absence de MFA exposant 11,7 millions de comptes [7]

► Lire aussi: ANTS: un hacker éthique avait alerté deux fois, rien n'a été corrigé

Le piratage de l’ANTS n’est pas une exception, mais le symptôme d’un système défaillant. Comme le résume Baptiste Robert: « Tout le monde peut être hacker » ^[83]. La question est désormais: qui écoutera les prochaines alertes?