Piratage de l’ANTS : 11,7 millions de Français trahis par un chiffre dans une URL

Le courriel tombe dans les boîtes mail le 15 avril ^[1]. Objet anodin, formulation rassurante. À la fin, une phrase: « Vous n’avez ainsi aucune démarche à accomplir ^[2]. » Des millions de Français ne la lisent pas. Ils ne savent pas encore que leur nom, leur date de naissance, l’identifiant unique de leur compte ANTS ^[3] viennent d’être aspirés. Ils l’apprendront cinq jours plus tard ^[4], par la presse.

LES ENJEUX

Une faille enfantine sur un service régalien

La vulnérabilité IDOR exploitée permettait d'accéder aux profils en modifiant un chiffre dans l'URL. Le hacker l'a qualifiée lui-même de « vraiment stupide ».

Cinq jours entre détection et annonce publique

L'ANTS a identifié la brèche le 15 avril. Le ministère de l'Intérieur ne l'a rendue publique que le 20 avril, alors que les données circulaient déjà sur le dark web depuis le 16 avril.

Une alerte de septembre 2025 ignorée

Sept mois avant l'incident confirmé, une base de 12 millions d'enregistrements était mise en vente sur le dark web. L'ANTS avait alors nié toute intrusion.

Un État sériel de la fuite de données

France Travail condamné pour plus de 30 millions de données perdues, CAF, DINUM, ANTS. La CNIL a reçu 5 630 notifications de fuites en 2024.

Le risque d'usurpation d'identité

Avec nom, date de naissance, adresse et identifiant de compte certifié par l'État, les données volées constituent une boîte à outils pour le phishing ciblé et l'usurpation.

Le 15 avril 2026 ^[5], un mercredi, les équipes de l’Agence nationale des titres sécurisés ^[6] détectent une intrusion sur leur portail. France Titres, son nouveau nom depuis 2024 ^[7], gère les passeports, les cartes nationales d’identité, les titres de séjour, les permis de conduire et les cartes grises ^[8]. Autrement dit: les documents régaliens de la République.

Le lendemain, 16 avril ^[9], un utilisateur au pseudonyme « breach3d ^[10] » met la base en vente sur le dark web. Dans l’annonce, une phrase moqueuse: « Le gouvernement français ferait mieux de s’en tenir aux arts culinaires, ses défenses numériques sont aussi feuilletées que ses croissants ^[11]. »

Un chiffre. Un seul.

La faille s’appelle IDOR, pour Insecure Direct Object Reference ^[12]. En clair: il suffisait de changer un chiffre dans l’URL pour consulter le profil d’un autre citoyen ^[13]. Pas de sophistication. Pas de malware. Une ligne d’adresse modifiée dans un navigateur.

Le hacker lui-même l’a résumé à FrenchBreaches ^[14]: « C’était une faille vraiment stupide ^[15]. » Ce type de vulnérabilité n’est pas inédit sur les services publics en ligne: le schéma est souvent le même, selon plusieurs sources, une énumération d’identifiants séquentiels qu’aucun contrôle d’autorisation ne protège côté serveur.

Le ministère de l’Intérieur annonce le chiffre le 21 avril ^[16]: 11,7 millions de comptes ^[17] de particuliers et de professionnels. Le collectif « breach3d » et son associé « ExtaseHunters ^[18] » en revendiquent 19 millions ^[19]. Le ministère parle de données d’identification: identifiant de connexion, civilité, nom, prénoms, adresse électronique, date de naissance, identifiant unique du compte ^[3]. Dans certains cas, s’ajoutent l’adresse postale, le lieu de naissance et le numéro de téléphone ^[20].

11,7 ou 19 millions? L’arbitrage impossible

L’écart entre les deux volumes n’est pas anecdotique: il porte sur plus de sept millions d’identités. Deux hypothèses se partagent le terrain. La première: le ministère compte des comptes uniques de particuliers et de professionnels actifs ^[17], quand les pirates comptent des lignes de base ^[19], qui peuvent inclure des doublons, des comptes historiques désactivés, ou des entrées techniques liées aux multiples démarches d’un même usager (passeport, permis, carte grise). La seconde: le périmètre revendiqué par breach3d dépasse la base détectée le 15 avril et intégrerait des données issues d’une extraction antérieure. Aucune source consultée ne tranche. Le ministère n’a pas détaillé la méthodologie de son comptage, et les pirates n’ont pas publié d’échantillon permettant de vérifier l’unicité des lignes.

« Ces données ne permettent pas d’accès illégitime au compte nominatif sur le portail ^[21] », assure le communiqué officiel. Les pièces jointes et les données biométriques ^[22] sont hors périmètre. La phrase se veut rassurante. Elle ne l’est pas pour un avocat qui reçoit ses convocations judiciaires à l’adresse mail indiquée dans son compte ANTS. Elle ne l’est pas pour un parent séparé dont l’adresse postale doit rester secrète.

L’anatomie d’une usurpation d’identité

Car c’est là que le bât blesse. Les champs exfiltrés - nom, prénoms, date de naissance, email, identifiant unique certifié par l’État ^[3] - constituent une boîte à outils presque complète pour l’usurpation. Le scénario type se déroule en trois temps. D’abord, le spear-phishing: un courriel usurpant l’adresse ants.gouv.fr (rien ne l’en empêche techniquement, nous y reviendrons) qui s’adresse à la victime par son nom complet, cite sa date de naissance pour crédibiliser, et l’invite à « confirmer » ses coordonnées bancaires pour la délivrance d’un titre. Ensuite, l’engrenage: une fois le lien cliqué et les identifiants bancaires saisis sur un faux site, l’attaquant dispose du triptyque état civil + contact + compte bancaire. Enfin, l’usurpation documentaire proprement dite: avec l’adresse postale et le lieu de naissance ^[20], il peut demander un duplicata de document d’identité auprès d’une mairie, ouvrir une ligne de crédit en ligne, ou souscrire un abonnement mobile qui servira à intercepter les SMS de double authentification.

L’article 226-4-1 du Code pénal réprime l’usurpation d’identité d’un an d’emprisonnement et de 15 000 euros d’amende ^[23]. Encore faut-il identifier l’auteur. Avec une base vendue au détail sur le dark web à des acheteurs anonymes, le risque se dilue dans des dizaines de milliers de tentatives de fraude disséminées. La Banque de France gère certes un dispositif de protection contre les usurpations d’identité ^[24], mais il est curatif, pas préventif.

Cinq jours de silence

Entre la détection du 15 avril et l’annonce publique du 20 avril ^[25], il s’écoule cinq jours ^[4]. Pendant ce temps, la base circule déjà sur le dark web depuis le 16 avril ^[26]. Les usagers professionnels, eux, ne sont prévenus que le 19 avril ^[27]. Les particuliers reçoivent un mail laconique le jour même de la détection: aucune démarche à accomplir.

Le ministre de l’Intérieur Laurent Nuñez ^[28] se dit « très attentif à la situation ^[29] ». Il saisit l’Inspection générale de l’administration ^[30] « pour établir la chaîne de responsabilité dans cet incident sérieux ^[31] ». L’Office anti-cybercriminalité ^[32] prend l’enquête judiciaire. La CNIL ^[33] est notifiée au titre de l’article 33 du RGPD ^[34]. Un signalement part à la procureure de la République de Paris ^[35].

La série des fuites étatiques françaises ne ralentit pas.

« Tous les 2 mois, une grande agence de l’État perd nos données »

Sur le plateau d’Apolline Matin, le 21 avril 2026 ^[36], Me Yann-Maël Larher ^[37], avocat au barreau de Paris spécialiste du droit du numérique, ne mâche pas ses mots. « C’est honteux ^[38]. » Puis: « Ce ne sont plus des défaillances, c’est quelque chose de systématique ^[39]. » Il enchaîne: « Tous les 2 mois, une grande agence de l’État perd nos données ^[40]. »

Son verdict: « L’État s’est piégé un peu lui-même, s’est mis aussi au numérique mais n’a pas tiré les conséquences du RGPD: il est responsable de la protection des données ^[41]. »

Un État sériel de la fuite

La chronologie récente donne la mesure. France Travail a perdu les données de plus de 30 millions de demandeurs d’emploi ^[42] et a été condamné pour cet épisode ^[43]. La Caisse d’allocations familiales a été ciblée à plusieurs reprises ^[44]. L’Éducation nationale ^[45] et le réseau de santé Cerballiance ^[46] figurent également à la liste des incidents récents. En 2024, la CNIL a reçu 5 630 notifications de fuites ^[47] - soit une quinzaine par jour. L’ANTS vient d’ajouter son nom.

Selon plusieurs sources, la récurrence interroge: sous-investissement chronique dans la dette technique des portails, externalisation en cascade à des prestataires sans audit public des contrats, absence d’un dispositif de bug bounty obligatoire pour les services régaliens, faiblesse des sanctions internes quand une agence publique manque à ses obligations RGPD. Me Larher résume la mécanique: l’État producteur de données n’a pas intégré qu’il est aussi l’État responsable de leur sécurité ^[41].

L’alerte de septembre 2025 que personne n’a voulu entendre

C’est l’angle mort du dossier. En septembre 2025 ^[48], une alerte similaire circule sur le dark web: une base de 12 millions d’enregistrements ^[49] présentée comme provenant de l’ANTS est mise en vente, certaines sources évoquant même 12,7 millions de lignes ^[50]. L’agence publie alors un communiqué affirmant n’avoir « identifié d’intrusion ^[51] » et dénonce des « incohérences » dans l’échantillon ^[52]. Elle maintient sa position jusqu’à une mise à jour du communiqué officiel le 6 mars 2026 ^[53].

La proximité des volumes - 12 millions d’enregistrements en septembre 2025 ^[49] contre 11,7 millions de comptes en avril 2026 ^[17] - pose une question que nul n’a officiellement tranchée: s’agit-il de la même base ou de deux incidents distincts? Si les deux extractions sont identiques, la faille IDOR était active dès l’automne 2025 et l’ANTS a passé sept mois ^[54] à nier une intrusion qu’elle n’avait pas détectée. Si elles sont distinctes, l’agence a subi deux intrusions successives sur la même vulnérabilité, sans la corriger entre les deux. Aucune source consultée ne permet de choisir entre les deux lectures. Le rapport de l’Inspection générale de l’administration ^[55] devra y répondre.

Autre détail technique révélé par ITSocial: la configuration DMARC du domaine ants.gouv.fr affiche « p=none », un mode observation qui ne bloque aucun usurpateur ^[56]. Cette configuration est documentée depuis au moins juillet 2019 ^[57] - près de sept ans sans politique active. Un faux courriel signé « [email protected] » a donc toutes les chances d’atteindre la boîte de réception d’un citoyen sans être filtré comme usurpation.

Ce que prévoit la loi et ce que peuvent faire les victimes

L’article 226-4-1 du Code pénal ^[58] prévoit pour l’usurpation d’identité une peine d’un an de prison et 15 000 euros d’amende ^[23]. Les victimes peuvent porter plainte en ligne via la plateforme THESEE ^[59], signaler les tentatives de phishing sur Signal Conso ^[60] ou Cybermalveillance.gouv.fr ^[61], transférer les SMS frauduleux au 33 700 ^[62], et saisir la CNIL ^[63] pour traitement abusif. Le RGPD ^[64] ouvre aux citoyens un droit d’accès et de rectification: l’ANTS dispose d’un mois ^[65] pour y répondre.

L’ANTS recommande de faire preuve « de la plus grande vigilance quant aux prochains messages suspects ou inhabituels ^[66] ». La formule est exacte. Elle place la charge de la sécurité sur l’usager.

Ce que les sources ne disent pas

Aucune source consultée ne précise pourquoi la faille IDOR, signalée indirectement dès septembre 2025 ^[48], n’a pas été corrigée avant avril 2026 ^[5]. Aucune ne détaille le montant précis du contrat de maintenance du portail ni l’identité de son prestataire. Aucune ne cite de responsable technique par son nom. L’Inspection générale de l’administration ^[55] doit établir « la chaîne de responsabilité ». Le rapport n’a pas de date de publication annoncée.

Le lecteur connaît la rapidité avec laquelle l’État communique sur ses succès. Il connaît aussi la lenteur avec laquelle il documente ses échecs.

Dans sa boîte mail, le courriel du 15 avril est toujours là. « Vous n’avez ainsi aucune démarche à accomplir. » La phrase n’a pas changé. Le monde autour, si.