Une nouvelle fuite de données massive frappe l’Agence Nationale des Titres Sécurisés (ANTS), mettant en péril les informations personnelles de près de 19 millions de citoyens français. L’incident, survenu il y a quelques jours, révèle une vulnérabilité technique d’une simplicité déconcertante, exploitable par des acteurs malveillants pour accéder à des données sensibles.
Une faille IDOR : l’erreur impardonnable d’un service public critique
L’ANTS, plateforme centrale pour la gestion des passeports, permis de conduire et cartes grises, a confirmé le 15 avril avoir été victime d’un accès non autorisé à ses systèmes. Dans un courrier adressé aux utilisateurs professionnels, l’agence a minimisé l’impact, affirmant qu’« aucune démarche n’était nécessaire » — une déclaration qui contraste avec l’ampleur réelle de la brèche.
Selon Seblatombe, fondateur du blog spécialisé FrenchBreaches, cette fuite pourrait figurer parmi les plus graves jamais enregistrées en France. Le vecteur d’attaque ? Une vulnérabilité IDOR (Insecure Direct Object Reference) sur l’API du portail moncompte.ants.gouv.fr. En manipulant un simple identifiant dans une requête, un attaquant pouvait accéder aux données d’autres utilisateurs sans aucune vérification d’autorisation. Un pirate, connu sous le pseudonyme « breach3d », a d’ailleurs mis en vente une base de 18 à 19 millions d’enregistrements sur un forum cybercriminel, qualifiant la faille de « vraiment stupide ».
Des données ultra-sensibles exposées : un terreau idéal pour l’usurpation d’identité
Ce qui rend cette fuite particulièrement alarmante, ce n’est pas seulement son volume, mais la nature exhaustive des informations compromises. Chaque enregistrement contiendrait :
- Nom, prénom(s), date et lieu de naissance
- Adresse postale complète et numéro de téléphone
- Adresse e-mail personnelle
- Confirmation de vérification d’identité par l’État
Un profil civil quasi complet, idéal pour des arnaques ciblées (phishing, usurpation d’identité) ou des attaques par ingénierie sociale. L’ANTS elle-même a alerté sur le risque de phishing administratif, invitant les citoyens à « redoubler de vigilance » et à « ne jamais communiquer leurs informations personnelles ».
Réactions institutionnelles et mesures d’urgence
L’affaire a été signalée à la CNIL et transmise au parquet de Paris pour enquête. Cependant, l’authenticité totale de la base de données volée reste à confirmer. Une chose est sûre : cette faille révèle des lacunes persistantes dans la cybersécurité des services publics français.
Que faire en attendant ?
- Changer immédiatement ses mots de passe (notamment ceux liés à l’ANTS).
- Surveiller ses comptes pour détecter toute activité suspecte.
- Se méfier des e-mails ou SMS prétendant provenir de l’administration.
Pourquoi cette faille est-elle si grave ?
L’ANTS gère des documents d’identité critiques : une brèche de cette ampleur ne menace pas seulement la vie privée des citoyens, mais aussi la confiance dans les infrastructures étatiques. À l’ère de la digitalisation massive des services publics, une telle négligence est inacceptable — et ses conséquences pourraient être durables.
