Modifier un chiffre dans une URL pour accéder aux données de 19 millions de Français : le portail de l'ANTS cède face à une vulnérabilité basique

Votre nom, prénom, date de naissance sont peut-être en vente

Modifier un chiffre dans une URL pour accéder aux données de 19 millions de Français : le portail de l'ANTS cède face à une vulnérabilité basique,
votre nom, prénom, date de naissance et adresse sont peut-être en vente en ce moment même

Le 15 avril 2026, le portail France Titres, géré par l'Agence nationale des titres sécurisés, était victime d'une intrusion massive. Un hacker a aspiré entre 18 et 19 millions de profils d'utilisateurs en exploitant une vulnérabilité d'une banalité confondante. Noms, prénoms, dates et lieux de naissance, adresses postales, numéros de téléphone, adresses électroniques : un portrait civil quasi exhaustif de millions de Français est désormais proposé à la vente sur un forum cybercriminel. L'administration a répondu par un courriel rassurant. Les spécialistes, eux, n'ont pas décoléré.

Le vecteur d'attaque revendiqué par le pirate, qui se présente sous le pseudonyme « breach3d », est une vulnérabilité de type IDOR (pour Insecure Direct Object Reference). Ce type de faille permet d'accéder aux données d'autres utilisateurs en modifiant simplement un identifiant dans les requêtes envoyées à l'API, sans qu'aucun contrôle d'autorisation ne soit effectué côté serveur. Pour le dire autrement : il suffisait de changer un chiffre dans l'URL pour consulter librement le profil d'un autre citoyen. Le système ne demandait pas si vous en aviez le droit. Il vous faisait confiance.

Cette erreur technique, en apparence anodine, a permis d'aspirer des paquets entiers de données d'état civil : noms, prénoms, dates et lieux de naissance, adresses e-mail, numéros de téléphone. Les entreprises ne sont pas épargnées non plus, les numéros SIREN et raisons sociales faisant également partie du lot. La faille IDOR figure depuis des années parmi les plus documentées et les plus connues du monde de la sécurité informatique. Elle apparaît systématiquement dans les référentiels de l'OWASP (l'Open Web Application Security Project), qui publie régulièrement la liste des dix vulnérabilités web les plus critiques. La retrouver sur le portail moncompte.ants.gouv.fr, qui centralise les demandes de cartes d'identité, de passeports, de permis de conduire et de certificats d'immatriculation de dizaines de millions de Français, a de quoi laisser sans voix. Le hacker lui-même l'a résumé sans détour : « C'était une faille vraiment stupide. » On l'aura remarqué.

19 millions de profils en vente, un précédent balayé d'un revers de main

L'utilisateur répondant au nom de « breach3d » a mis la base de données en vente dès le 16 avril sur les places de marché du dark web, revendiquant le vol de 19 millions de lignes. Ce qui rend la situation particulièrement cuisante, c'est le contexte dans lequel elle s'inscrit. En septembre 2025, une alerte similaire avait circulé, évoquant 12 millions de comptes compromis, avant d'être catégoriquement démentie par les autorités après enquête. À l'époque, l'ANTS avait publié un communiqué affirmant ne pas avoir « identifié d'intrusion » et contestant la cohérence des échantillons diffusés sur le dark web, tout en vantant ses « mesures de sécurité renforcées ». Cette fois, l'incident est officiellement confirmé par le ministère de l'Intérieur lui-même.

Selon Seblatombe, fondateur du blog spécialisé FrenchBreaches, il pourrait s'agir de l'une des plus grandes fuites de données administratives jamais enregistrées en France. Le périmètre est effectivement vertigineux : l'ANTS est le guichet numérique unique de l'État pour l'ensemble des titres officiels. Quiconque a renouvelé un passeport, obtenu un permis de conduire ou immatriculé un véhicule en ligne au cours des dernières années a potentiellement un profil dans la base exfiltrée.

La base contiendrait pour chaque personne les prénoms, nom, adresse e-mail personnelle, date et lieu de naissance, adresse postale complète, numéro de téléphone, et même la confirmation que l'identité a été vérifiée par l'État. Ce dernier détail n'est pas anodin : il signifie que les données ont une valeur certifiée, une crédibilité supplémentaire aux yeux de quiconque souhaiterait les monétiser à des fins frauduleuses.


La communication officielle, ou l'art de minimiser

Le 15 avril, le jour même de la détection de l'incident, l'ANTS a envoyé un courriel à ses utilisateurs. Ce message reconnaissait un accès non autorisé à certaines données personnelles, listait les catégories concernées (nom, prénom, e-mail, date de naissance, adresse) et se concluait par cette formule : « Vous n'avez ainsi aucune démarche à accomplir. » Rassurant, vraiment, pour une agence qui venait de laisser s'évaporer les identités civiles de près d'un cinquième de la population française.

Le communiqué officiel du ministère de l'Intérieur, transmis à l'AFP, est plus précis sur le contenu des données exposées, mais il préserve la même tonalité apaisante. Il insiste sur ce qui ne serait pas concerné : les pièces justificatives, les photographies, les numéros de demande. Il précise également que les données divulguées « ne permettent pas d'accès illégitime au compte du portail », formulation techniquement exacte, mais qui occulte l'essentiel : ces données permettent de construire une usurpation d'identité particulièrement convaincante, bien en dehors du portail de l'ANTS.

Des experts en cybersécurité ont jugé cette communication largement insuffisante au regard de l'étendue réelle de la brèche. Kevin Tellier, chercheur chez Synacktiv, a résumé le risque concret : les données volées peuvent servir à du phishing, à toutes les arnaques qui arrivent par SMS, avec l'adresse, le nom et d'autres informations personnelles qui permettent de crédibiliser une attaque.

Voici le communiqué :

« Sous réserve des investigations en cours, s’agissant des comptes particuliers, les données à caractère personnel concernées seraient des données d’identification : identifiant de connexion, civilité, nom, prénoms, adresse électronique, date de naissance, identifiant unique du compte ; et le cas échéant, d’autres données qui ne sont pas systématiquement présentes dans les comptes : adresse postale, lieu de naissance, téléphone. Les usagers concernés font actuellement l’objet d’une information personnalisée.

« La divulgation des données ne concerne pas les données complémentaires transmises dans le cadre de la réalisation des différentes démarches, telles que les pièces jointes. Ces données personnelles ne permettent pas d’accès illégitime au compte du portail.

« Conformément à l’article 33 du règlement relatif à la protection des données personnelles (RGPD), l’incident a été notifié à la commission nationale de l’informatique et des libertés (CNIL) et un signalement a été transmis à la Procureure de la République de Paris en application de l’article 40 du code de procédure pénale en vue de l’ouverture d’une enquête. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été alertée.

Les investigations techniques, débutées dès la détection de l’incident, sont en cours. Elles sont menées par les équipes de l’ANTS et les services compétents. Elles visent à déterminer précisément l’origine de l’incident et son ampleur.

« Des mesures de renforcement de la sécurité pour assurer la continuité des services du portail et la protection des données ont été mises en place.

« Aucune intervention n’est attendue de la part des usagers. Nous leur recommandons cependant de faire preuve de la plus grande vigilance quant aux prochains messages suspects ou inhabituels qu’ils pourraient recevoir (SMS, appel, email, etc.) émanant en apparence de l’ANTS.

« L'ANTS rappelle que toute mise en vente ou diffusion de données présentées comme les siennes constitue une activité illégale. »


L'État face à ses propres failles

Sur le plan procédural, l'ANTS a respecté ses obligations. L'incident a été notifié à la CNIL conformément au RGPD, un signalement a été transmis à la Procureure de la République de Paris, et l'ANSSI a été alertée. Les cases cochées, donc. Ce qui reste ouvert, en revanche, c'est la question fondamentale des responsabilités : qui a développé et maintenu un portail aussi stratégique sans jamais auditer correctement son API ? Quels prestataires ? Avec quels cahiers des charges ? Selon quels processus de revue de sécurité ?

Car ce piratage n'est pas un événement isolé. En 2026, l'URSSAF a subi une fuite en janvier concernant 12 millions de victimes potentielles, des données du CNRS ont été récupérées en février, celles du système d'information sur les armes du ministère de l'Intérieur en mars. La liste s'allonge à un rythme préoccupant, et les institutions publiques françaises semblent structurellement en retard sur un ennemi qui, lui, n'a pas de budget contraint, de marchés publics à respecter, ni de procédures de validation à traverser avant d'appuyer sur « Envoyer ».

Le hacker lui-même, dissimulé derrière la photo du narcotrafiquant Pablo Escobar, a ajouté : « Le gouvernement français ferait mieux de se cantonner aux arts culinaires. Leurs défenses informatiques sont aussi friables que leurs croissants. » Le mot est cruel. Il n'en est pas moins révélateur du fossé de perception qui sépare les attaquants, qui savent exactement ce qu'ils ont trouvé, et une administration qui, dans son courriel du 15 avril, préférait conclure qu'il n'y avait « aucune démarche à accomplir ».

Vers une remise à plat de la sécurité des services publics numériques ?

Il existe en France des dispositifs : l'ANSSI dispose d'un référentiel de sécurité, les audits d'homologation sont théoriquement obligatoires pour les systèmes traitant des données sensibles, et le RGPD impose des obligations de résultat aux responsables de traitement. Ce cadre est globalement solide sur le papier. Ce qui manque, c'est visiblement son application effective et continue, notamment dans les phases d'évolution des API, là où les failles IDOR prolifèrent le plus facilement.

La sécurité informatique ne doit jamais passer après la simplicité d'utilisation. Le secteur public français est de plus en plus visé, et chaque nouvel incident entame un peu plus le capital confiance des Français envers leurs services en ligne. Or ce capital de confiance n'est pas une variable d'ajustement : c'est le fondement même de la légitimité de la dématérialisation des services publics. Si les citoyens ne peuvent pas faire confiance à un portail géré directement par un établissement public du ministère de l'Intérieur, à qui peuvent-ils faire confiance ?

Pour les 19 millions de personnes potentiellement concernées, le risque immédiat est le phishing ciblé. Des courriels ou SMS personnalisés intégrant leur nom, prénom, date de naissance et adresse, se faisant passer pour l'administration fiscale, pour la Sécurité sociale, ou pour l'ANTS elle-même. À plus long terme, le risque d'usurpation d'identité plane : c'est la victime qui se retrouve à devoir prouver son innocence, dans des procédures longues et épuisantes, alors que la faille initiale vient d'un organisme public.

En attendant que l'enquête judiciaire ouverte à Paris détermine l'origine exacte de l'intrusion, son périmètre définitif et les éventuelles responsabilités pénales, une chose est certaine : une faille IDOR sur l'API d'un portail régalien, c'est une faute professionnelle de base, pas une fatalité. Elle se détecte lors d'un pentest élémentaire. Elle se corrige en quelques heures. Le fait qu'elle ait existé, pendant une durée encore inconnue, sur le portail qui délivre les titres d'identité de toute la population française est, à lui seul, un aveu d'échec systémique.

Sources : communiqué de presse Ministère de l'Intérieur, vidéo dans le texte, analyse de la faille

Et vous ?

La dématérialisation accélérée des services publics s'est-elle faite au détriment de la sécurité ? Quelles seraient les conditions minimales pour rendre ce modèle viable sans exposer les citoyens ?

Une faille IDOR est l'une des vulnérabilités les plus basiques et les mieux documentées en sécurité applicative. Son existence sur un portail de cette criticité soulève la question des audits d'homologation : sont-ils réellement effectués, et avec quel niveau d'exigence ?

La communication de crise de l'ANTS, un courriel minimisant conclu par « vous n'avez aucune démarche à accomplir », constitue-t-elle une réponse à la hauteur ? Que devrait imposer le RGPD, ou la loi, en matière de transparence après une violation de données d'une telle ampleur ?

Les prestataires privés qui développent et maintiennent ces portails publics ont-ils leur part de responsabilité juridique en cas de faille avérée ? Le modèle de la sous-traitance informatique à l'État est-il compatible avec les exigences de sécurité qu'il prétend imposer ?

La série de fuites touchant les institutions françaises en 2026 (URSSAF, CNRS, ministère de l'Intérieur, ANTS) révèle-t-elle une vulnérabilité systémique, ou s'agit-il d'incidents indépendants que l'on tend à agréger à tort dans un même récit ?