Discussion :

[Galactus13]

Une petite fuite pour un hacker mais une grosse fuite pour la France !
Et ils veulent supprimer l'argent physique pour du virtuelle !
C'est quoi la suite ?

[Christophe]

La suite c'est se faire pucer.

[weed]

faille du logiciel ou faille OS : tu es déjà trop loin.
Si je comprends bien l'article (faille IDOR) la faille est dans le cahier des charges et qu'avec des tests basiques on détecte cette faille.

De mon point de vue, il y aura toujours des failles sur un systèmes. Là, apparemment ils n'ont pas bien assurés comme tu le dis dès la conception.
Razmauve12 qui a travaillé en tant que presta dans la fonction public n'est d'ailleurs pas surpris.

Mais je dirais que c'est le jeu du chat et de la souris. Tôt ou tard, même si le système était bien fichu, le hacker aurait réussi à trouver la faille, et là, c'est toute une panoplie d'information dont le hacker a.

Il faudrait que l'Europe se remette en question sur leur stratégie de tout mettre au même endroit. Le bon sens serait ne pas centralisé pour justement répartir les risques.

Et en effet il aurait fallu que les grands média s'empare du sujet pour ce genre de réflexion de fond, pas spécialement pour cette coquille qui ne peut être qu'inévitable.

[floyer]

Dire que pour un site familial, j’ai codé une restriction contre les IDOR. Je n’ai peut-être pas soigné le truc (genre la suppression d’un item pas à soit n’affiche pas d’erreur mais ne fait rien), mais en attendant, il n’y a pas cette faille !

Avec certains framework, on peut même factoriser toutes les vérifications sur un champ, ce qui évite d’en oublier.

[wirezoe]

Quand on voit ce que nous coutent certains fonctionnaires, et les énarques nommés à des postes pour gérer l'état français, y a de quoi avoir la nausée. Ces failles de sécurité, non corrigées et connues qui nuisent à tous dans l'objectif non avoué d'imposer bientôt un contrôle total des citoyens et une perte généralisée des libertés va bon train. "Toutes vos données personnelles sont sur internet... qu'à cela ne tienne, pour tout sécuriser on vous greffera une puce pour utiliser votre smartphone ou votre PC.

[r0d]

Cette histoire me fait penser à une de mes premières expériences professionnelle. Début des années 2000. C'était mon premier emploi, je travaillais dans une SSII (on dit ESN maintenant). Après 2 ans de travail sur un projet en C++, ils m'envoient en mission chez Orange (qui venait juste d'être créé) pour une mission java. Je n'avais jamais fait de java ailleurs que chez moi pour des trucs perso. J'ai appris, après quelques jours, qu'ils m'avaient vendu en tant que senior dev expert en java...

Alors oui, le comportement des commerciaux qui vendent un jeune débutant c++ en tant qu'expert java senior est assez énervant. Mais si on commence à réfléchir aux raisons qui font qu'ils peuvent se permettre de faire ça, alors ça devient carrément flippant.

Après, ça c'était il y a plus de 20 ans. Ça a peut-être changé depuis.

[Ti-Slackeux]

Après, ça c'était il y a plus de 20 ans. Ça a peut-être changé depuis.

Faut croire que non ...

[shenron666]

Je suis étonné que personne ne parle de porter plainte contre l'état pour avoir failli à son devoir de protection des données.
D'autant plus que je reçois des mails de phishing particulièrement élaborés depuis peu.
Faire le lien est plus que tentant, presque induit.

[Patrick Ruiz]

Piratage de l’ANTS : le suspect appréhendé par les autorités est un gamin de 15 ans connu dans les forums sous le pseudonyme « breach3D », un nouvel exemple qui confirme que l’anonymat en ligne est un mythe.

Le 15 avril 2026, le portail France Titres, géré par l'Agence nationale des titres sécurisés, était victime d'une intrusion massive. Un hacker a aspiré entre 18 et 19 millions de profils d'utilisateurs en exploitant une vulnérabilité d'une banalité confondante. Noms, prénoms, dates et lieux de naissance, adresses postales, numéros de téléphone, adresses électroniques : un portrait civil quasi exhaustif de millions de Français était dès lors proposé à la vente sur des forums en ligne. Le suspect appréhendé par les autorités est un gamin de 15 ans connu dans les forums de hackers sous le pseudonyme « breach3D », un exemple qui confirme que l’anonymat en ligne est un mythe.

🚨🔴🇫🇷 CYBERALERT | Un mineur de 15a a été arrêté dans la cyberattaque de l'ANTS ! 15ans b*rdel 🤯🤯🤯

Dans la fuite de données qui a touché l'Agence Nationale des Titres Sécurisés, on apprend qu'un mineur de 15 ans a été interpellé et placé en garde à vue !
Il avait piraté le… pic.twitter.com/EEJMihxtLU

— SaxX ¯\_(ツ)_/¯ (@_SaxX_) April 30, 2026

L’Intégralité du communiqué de presse du Parquet de Paris

Le 25 avril, un mineur âgé de 15 ans a été placé en garde à vue, soupçonné d’avoir contribué à la fuite de données au préjudice de l’ANTS (France Titres, Agence nationale des titres sécurisés).

L’OFAC (Office anti-cybercriminalité) avait été informé en avril d’une cyberattaque au préjudice de l’agence. Entre 12 et 18 millions de lignes de données étaient proposées à la vente sur des forums cybercriminels, par un hacker surnommé « breach3d ». L’ANTS confirmait une activité inhabituelle sur son réseau le 13 avril 2026, et l’authenticité des données revendues.

La section de lutte contre la cybercriminalité du parquet de Paris, avisée le 16 avril 2026, avait immédiatement ouvert une enquête des chefs d’accès et maintien frauduleux dans un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat, ainsi que d’extraction frauduleuse de données contenues dans un système de traitement automatisé de données à caractère personnel mis en œuvre par l'Etat (délits faisant encourir la peine de 7 ans d’emprisonnement et 300 000 euros d’amende).

Les investigations ont conduit les enquêteurs à soupçonner le mineur de s’être dissimulé sous le pseudonyme « breach3d ».

Une information judiciaire a été ouverte le 29 avril 2026 par le parquet de Paris. La mise en examen et le placement sous contrôle judiciaire du mineur ont été requis pour ces faits constitutifs d’atteintes (accès, maintien, extraction, transmission, détention, entrave au fonctionnement) à un système de traitement automatisé de données à caractère personnel mis en œuvre par l’Etat et de détention d’équipement ou de programme permettant de commettre ces atteintes. Les investigations se poursuivent désormais sous la direction du juge d'instruction.

Le piratage de l’ANTS est un cas additionnel qui illustre que l’anonymat en ligne est un mythe

Ce cas de figure s’inscrit à la suite d’autres comme celui de Ross Ulbricht – fondateur de Silk Road. Bien qu’ayant utilisé Tor et des pseudonymes, le FBI a réussi à le localiser en identifiant l'adresse IP de son serveur caché et en suivant ses transactions en bitcoin.

Dans le cas Incognito Market, le propriétaire a été arrêté malgré l'utilisation de méthodes de dissimulation avancées sur le Darknet, montrant que les forces de l'ordre peuvent briser l'anonymat même sur des marchés illicites.

En 2017, le cyberharceleur Ryan Lin utilisait un VPN et des services de messagerie anonymes. Il a été démasqué parce que son VPN a été contraint de fournir ses journaux de connexion (logs).

La potentielle entrée en vigueur de projets de loi comme ChatControl et ProtectEU est susceptible de renforcer cet état de choses

L’objectif des autorités européennes au travers de projets de lois tels que ProtectEU et ChatControl est « d'identifier et d'évaluer les solutions technologiques qui permettront aux autorités répressives d'accéder aux données chiffrées de manière légale, tout en préservant la sécurité en ligne et les droits fondamentaux. »

Les feuilles de routes listent des objectifs dont l’un est sans détour d’introduire une porte dérobée dans le chiffrement de bout-en-bout afin de permettre aux forces de l’ordre d’avoir un accès plus aisé à nos données privées. L’entrée en vigueur de ces lois impliquerait que :

• toutes les conversations en ligne et tous les courriels seront automatiquement fouillés pour détecter tout contenu suspect. Rien ne reste confidentiel ou secret. Il ne sera pas nécessaire d'obtenir une ordonnance du tribunal ou d'avoir un soupçon initial pour effectuer une recherche dans les messages ;
• si un algorithme classe le contenu d'un message comme suspect, les photos privées ou intimes pourront être consultées par le personnel et les sous-traitants de sociétés internationales et les autorités policières. Ces mêmes contenus pourront être consultés par des personnes inconnues ou se retrouver entre les mains d’individus mal intentionnés ;
• les conversations intimes pourront être lues par le personnel et les sous-traitants de sociétés internationales et les autorités policières, car les filtres de reconnaissance de texte qui ciblent la "sollicitation d'enfants" signalent souvent à tort les conversations intimes ;
• des tiers pourront être faussement signalés et faire l'objet d'enquêtes pour diffusion présumée de matériel d'exploitation sexuelle d'enfants. Les algorithmes de contrôle des messages et des chats sont connus pour signaler des photos de vacances tout à fait légales d'enfants sur une plage, par exemple. Selon les autorités de la police fédérale suisse, 86 % de tous les signalements générés par des machines s'avèrent sans fondement ;
• lors d’un voyage à l'étranger, l’on peut se retrouver face à de gros problèmes. Les rapports générés par les machines sur les communications pourront être transmis à d'autres pays, comme les États-Unis, où la confidentialité des données demeure très mal encadrée, ce, avec des résultats incalculables ;

Source : Communiqué de presse

Et vous ?

Pour ou contre l’entrée en vigueur de lois de surveillance de masse comme ProtectEU et ChatControl aux fins de faciliter la capture de cybercriminels ?
L’utilisation de l’identité réelle est-elle de façon systématique gage de civilité ?

Voir aussi :

Lutte anti-terroriste : 44 organisations exhortent Macron à renoncer à un projet de règlement européen qui pourrait porter préjudice à Internet
L'administration Macron confirme sa loi contre la haine sur Internet en 2019 par la voix de la Secrétaire d'État auprès du Premier ministre
Macron lance « l'Appel de Paris » pour remédier aux problèmes d'Internet, la France va coopérer avec Facebook pour examiner ses efforts de modération
UE : le président Emmanuel Macron veut sévir contre les positions dominantes des entreprises et dit vouloir d'un dispositif antitrust plus fort
Présidentielle en France : Emmanuel Macron s'attaque au chiffrement et à la propagande en ligne dans son programme de lutte contre le terrorisme

[Aspartame]

un nouvel exemple qui confirme que l'anonymat en ligne est un mythe

et que la prétendue sécurité nationale des données des citoyens aussi !

[edgarjacobs]

Mouais. Que l'on punisse le piratage, d'accord, mais pourquoi ne punit-on pas aussi ceux qui ont laissé des portes cochères grandes ouvertes ?

[Access_to_folder]

Il sera intéressant de connaitre les arguments de défense, les avocats ne manquant pas de stratèges pour sortir leurs clients d'un mauvais pas. Arguer que le client ne pensait utiliser qu'une fonctionnalité "publique" prévue par le logiciel n'empêcherait pas de tomber sous le coup du droit du "sui generis", à savoir que recopier par des procédés type logiciel faisant d'innombrables requêtes, quand bien même les données ne relèveraient qu'aucune protection légale et seraient du domaine public, constitue une violation, car l'effort de constituer la base de données est protégé en soi.
(notion brièvement abordée sur developpez.net : https://editions-eni.developpez.com/...ntellectuelle/ "III. Les bases de données")

[Christophe]

Mouais. Que l'on punisse le piratage, d'accord, mais pourquoi ne punit-on pas aussi ceux qui ont laissé des portes cochères grandes ouvertes ?

Le RGPD le prévoit. Mais si l'état se condamne lui-même quel est le sens ? C'est ce qui c'est passé pour la fuite France Travail, condamné de mémoire à 5 millions d’euros. Reste à poursuivre les éventuels prestataires, mais surtout les pirates.

[floyer]

La défense sera difficile… si le gars est assez intelligent pour faire le script qui aspire la base de données du site, il est assez intelligent pour se dire que ce n’est pas normal et que la vente va porter préjudice. (Je ne vois pas l’intérêt d’acheter le fichier si ce n’est pas pour monter des fraudes).

[Artemus24]

Salut à tous.

Que l'on punisse le piratage, d'accord, mais pourquoi ne punit on pas aussi ceux qui ont laissé des portes cochères grandes ouvertes ?

Punir le pirate, je veux bien, après tout, il s'est fait attrapé par son manque de discrétion.
Son jeune âge (15 ans) démontre son inexpérience en ce domaine et il s'est déjà fait remarqué.

Mais en quoi le concepteur du site est aussi responsable de ce méfait ?
On peut supposer qu'il n'eut jamais l'intention de créer une porte dérobée, qu'il n'eut aucun connaissance d'une faille.
On ne peut pas penser à tout lors d'une conception, même à l'improbable.
C'est un peu trop facile de responsabiliser une personne (ou une société) à cause des méfaits d'une autre.

Et les intermédiaires ? Ceux qui font la maintenance ? Il n'ont jamais rien remarqué ?
Ceux qui exploitent le site ? N'ont ils jamais rien remarqué d'inhabituel ?
Pour un site aussi sensible, personne ne surveille les accès ?
On nomme cela un mouchard et il est facile d'en concevoir un pour connaitre ceux qui font des accès.
Et gérer un pare-feu pour interdire des accès non autorisés.
La chaîne de responsabilité peut être longue, et pas sans conséquence pour la suite.
Mais qui voudrait continuer à développer un site si au moindre problème, sa responsabilité est mise en cause ?

Tu vas me dire qu'un pont qui s'effondre est aussi de la responsabilité de l'ingénieur qui l'a conçu.
Même cinquante ans après ? Et si celui-ci est décédé, qui va prendre sa responsabilité ? Ses enfants ?
Mais quand est il de ceux qui ont négligé sa maintenance ?
Ou du changement climatique, dont sa conception n'a pas été prévu pour des grands vents ou des inondations à répétions ?

Il est difficile de toujours trouver un responsable pour se dédouaner d'un manque de vigilance de la part de ceux qui exploitent le site.
Au lieu d'être dans la recherche du parfait responsable, ne peut on pas être plus exigeant sur la conception de ces sites sensibles ?
Il vaut mieux éviter le problème que de tenter de colmater la brèche.

[DevTroglodyte]

On peut supposer qu'il n'eut jamais l'intention de créer une porte dérobée, qu'il n'eut aucun connaissance d'une faille.
On ne peut pas penser à tout lors d'une conception, même à l'improbable.
C'est un peu trop facile de responsabiliser une personne (ou une société) à cause des méfaits d'une autre.

Cet argument fonctionne lorsqu'on parle d'une faille non connue au préalable, pas lorsqu'on parle d'une faille aussi connue que celle utilisée lors de cette attaque. Désolé, mais la sécurité d'une installation numérique, ça ne s'improvise pas. On ne peut pas laisser le concepteur hors de cause parce qu'il n'a pas pensé à vérifier le B.A.BA de la sécurité sur un truc aussi sensible que les identités des français. Ce genre de trucs ça se pense depuis le début du projet. Qu'il n'ait pas eu l'intention de laisser une faille béante sur le site ne le dégage pas de ses responsabilités.

Et oui, ça concerne aussi les sous traitants qui ont mis en place le service, mais entre le "je ferme ma gueule pour pas perdre le contrat et du temps" et les démarches qui peuvent prendre des plombes juste pour avoir accès à un gitlab, l'information tend à vite se diluer dans les projets du service public... Même les sensibles.

La responsabilité est partagée par pas mal d'acteurs, mais une grosse part revient à la ceux qui ont assuré la conception qui ont manifestement sous estimé l'importance de la sécurité informatique.

[floyer]

Pour la responsabilité du contractant, il faut voir le contrat… il n’y a que cela qui le lie à l’administration. Et une fois la réception faite, il y a transfert de propriété, et c’est l’administration qui est responsable, qui aurait dû faire des audits de sécurité, etc.

Même si le développeur est en cause, l’incriminer (pour obtenir des indemnités?) nécessite une base légale.

En revanche pour le pirate, le code pénal prévoit bien que l’intrusion d’un système d’information est un délit.

Et effectivement, ce type de faille est grosse comme une maison.

[Access_to_folder]

La défense sera difficile… si le gars est assez intelligent pour faire le script qui aspire la base de données du site, il est assez intelligent pour se dire que ce n’est pas normal et que la vente va porter préjudice. (Je ne vois pas l’intérêt d’acheter le fichier si ce n’est pas pour monter des fraudes).

A ce que j'ai compris, il suffisait d'utiliser une url et modifier un paramètre de l'url pour accéder à une donnée d'un autre administré, sans procéder à une identification soit de l'administré concerné ou d'un administrateur du site. Cela est un défaut de conception, mais le logiciel en tant que tel le permettait, le mis en cause n'aurait pas usé de détournement d'identifiant, exploitation d'une faille de sécurité (injection...), ou autre moyen d'intrusion. Il n'aurait fait qu'un banal script qui boucle et parcours à l'affichage, tel lui permet le logiciel, de la fiche administré n°1 à la dernière. Il aurait utilisé ce qui est prévu par le logiciel (tel les litiges autour du droit de sui generis où un logiciel va parcourir récursivement un site internet et récupérer les données publiques accessibles par les fonctionnalités du site et en faire un autre usage que celui prévu par le site) et c'est en cela qu'il sera intéressant de suivre si cela est utilisé pour sa défense comme argument et si cela est possible à plaider dans un tel contexte.

Ensuite, le renvoi de responsabilité entre le client (l'administration) et le prestataire de service qui a réalisé le logiciel est effectivement défini par un contrat, qui doit prévoir les responsabilités des uns et des autres. Tout comme le contrat entre l'administration et l'usager du site.

[foetus]

Il n'aurait fait qu'un banal script qui boucle et parcours à l'affichage, tel lui permet le logiciel, de la fiche administré n°1 à la dernière.

Dans les années 2000, il y a eu 1 terme assez populaire script kiddie (wiki en et wiki fr)

A script kiddie, skript kiddie, skiddie, kiddie, or skid is a pejorative for an unskilled individual who uses malicious scripts or programs developed by others.

Donc c'est pour cela que :

• les pirates sont jeunes - ce sont des jeunes qui trouvent sur Internet des scripts ou outils et ils n'ont pas trop la conscience de la portée de leur acte
• ils se font chopper - parce qu'ils n'ont très peu de connaissances en informatique pour réellement masquer leur acte
• les scripts utilisent les *largesses* des sites ou des logiciels

Pour le paragraphe sur ChatControl et ProtectEU, c'est 1 peu n'importe quoi : cela existe depuis 25 - 30 ans, mais s'il fallait 1 bonne raison bidon pour promouvoir ces lois, pas merci à l'ANTS

[floyer]

Je ne sais pas s’il s’agit d’une URL visible, je n’ai pas d’information suffisante. Une faille IDOR peut être la résultante d’une champ input de type hidden, d’une URL enfouie utilisée par une fonction JavaScript… si tel est le cas, ce n’est pas accessible au premier venu (mais accessible au deuxième avec un proxy de type OWASP ZAP par exemple).

Et l’écriture d’un script qui récupères tout, puis d’essayer de le revendre est manifestement une intention de nuire.

Quant à: il a utilisé ce que le logiciel permettait, on peut le dire de toute attaque quelque soit la technicité en jeu.