L’attaque cybercriminelle subie par l’Agence Nationale des Titres Sécurisés (ANTS) en avril 2026 a exposé les données de 18 à 19 millions de citoyens. Cet incident grave rappelle brutalement l’urgence de sécuriser nos systèmes d’information étatiques.
L’origine : une faille API basique (IDOR)
L’intrusion ne résulte pas d’un ensemble d’attaques complexes, mais d’une faille de contrôle d’accès IDOR (Insecure Direct Object Reference).
Concretement, le système de l’ANTS ne vérifiait pas les autorisations lors de la consultation des profils des utilisateurs. Les attaquants n’ont eu besoin que de créer des comptes, puis d’utiliser des scripts pour modifier de façon séquentielle les identifiants des requêtes (par exemple, changer un numéro d’utilisateur dans une requête). Ils ont ensuite aspiré des millions d’informations sans être bloqués.
La seconde attaque en moins de 12 mois : le passif de l’ANTS
Cet incident, l’un des plus importants de ses dernières années concernant un organisme public, n’est malheureusement pas le premier que subit l’ANTS puisqu’elle avait déjà été victime d’une fuite de données en septembre 2025. Cette nouvelle fuite, quelques mois après la première, et quelques semaines après d’autres fuites très importantes constatées au sein du Ministère de l’Intérieur, souligne des lacunes persistantes dans la gouvernenance et l’intégration de la sécurité au sein de nos organismes publics français.
Les données compromises
Le butin des pirates permet de constituer un profil civil quasi-complet. Les données aspirées contiennent notamment :
- le nom, le nom d’usage et les prénoms ;
- la date et le lieu de naissance ;
- l’adresse électronique de la personne et son identifiant ANTS ;
- l’adresse postale et le numéro de téléphone des personnes (selon les dossiers accédés) ;
- les numéros SIREN de certains professionnels disposant de comptes ANTS.
« Heureusement », des informations comme les numéros uniques de titre d’identité, leur version digitale, ou les informations des puces électroniques ne semblent pas concerner par la violation.
Vos questions fréquentes
Qu’est-ce que l’ANTS ?
L’Agence Nationale des Titres Sécurisés (ANTS) est un établissement public, placé sous la tutelle du Ministère de l’Intérieur. Elle gère le portail officiel permettant aux citoyens de réaliser en ligne leurs démarches liées aux documents officiels d’identité en France (carte d’identité, passeport, permis de conduire, cartes grises, …).
Comment savoir si je suis concerné ?
Etant donné l’ampleur de la fuite, il y a de fortes possibilités que vos données soient concernées si vous avez effectué une démarche récente. A terme, des plateformes comme Have I Been Pwned vous permettront de vérifier si votre adresse e-mail fait partie du lot.
L’ANTS va t-elle m’envoyer un message pour me prévenir individuellement ?
Le RGPD impose au Responsable de traitement de notifier les personnes dont les données subissent une violation. Néanmoins, lorsque la violation concerne un nombre très important de personnes (ce qui est le cas), une notification par voie de presse (communiqué de presse) est considérée comme suffisante. Il y a peu de chances que l’ANTS vous envoie directement une notification.
Quels sont les risques me concernant?
Un hameçonnage ultra-ciblé (spear-phishing) et des usurpations d’identité ne manqueront pas de découler de cette violation. Des escrocs pourront utiliser les noms, informations de naissance, adresses, pour rendre leurs arnaques extrêmement crédibles (e-mails frauduleux, faux conseillers par téléphone, …) ou pour bénéficier, en votre nom, de services nécessitant normalement une vérification d’identité (crédits à la consommation, ouverture de comptes bancaires en ligne ou d’assurances, chasses aux informations auprès de prestataires d’énergie, …).
Que dois-je faire ?
Vous devez faire attention…
Malheureusement avec autant de données en ligne, il ne vous est pas possible de faire grand chose. Ne communiquez jamais de nouvelle information à une personne par téléphone qui vous semble correctement informée de votre situation, évitez les paiements par téléphone ou la validation par e-mail ou téléphone de demandes, et surveillez vos comptes.
