Discussion :

[Stéphane le calme]

Modifier un chiffre dans une URL pour accéder aux données de 19 millions de Français : le portail de l'ANTS cède face à une vulnérabilité basique,
votre nom, prénom, date de naissance et adresse sont peut-être en vente en ce moment même

Le 15 avril 2026, le portail France Titres, géré par l'Agence nationale des titres sécurisés, était victime d'une intrusion massive. Un hacker a aspiré entre 18 et 19 millions de profils d'utilisateurs en exploitant une vulnérabilité d'une banalité confondante. Noms, prénoms, dates et lieux de naissance, adresses postales, numéros de téléphone, adresses électroniques : un portrait civil quasi exhaustif de millions de Français est désormais proposé à la vente sur un forum cybercriminel. L'administration a répondu par un courriel rassurant. Les spécialistes, eux, n'ont pas décoléré.

Le vecteur d'attaque revendiqué par le pirate, qui se présente sous le pseudonyme « breach3d », est une vulnérabilité de type IDOR (pour Insecure Direct Object Reference). Ce type de faille permet d'accéder aux données d'autres utilisateurs en modifiant simplement un identifiant dans les requêtes envoyées à l'API, sans qu'aucun contrôle d'autorisation ne soit effectué côté serveur. Pour le dire autrement : il suffisait de changer un chiffre dans l'URL pour consulter librement le profil d'un autre citoyen. Le système ne demandait pas si vous en aviez le droit. Il vous faisait confiance.

Cette erreur technique, en apparence anodine, a permis d'aspirer des paquets entiers de données d'état civil : noms, prénoms, dates et lieux de naissance, adresses e-mail, numéros de téléphone. Les entreprises ne sont pas épargnées non plus, les numéros SIREN et raisons sociales faisant également partie du lot. La faille IDOR figure depuis des années parmi les plus documentées et les plus connues du monde de la sécurité informatique. Elle apparaît systématiquement dans les référentiels de l'OWASP (l'Open Web Application Security Project), qui publie régulièrement la liste des dix vulnérabilités web les plus critiques. La retrouver sur le portail moncompte.ants.gouv.fr, qui centralise les demandes de cartes d'identité, de passeports, de permis de conduire et de certificats d'immatriculation de dizaines de millions de Français, a de quoi laisser sans voix. Le hacker lui-même l'a résumé sans détour : « C'était une faille vraiment stupide. » On l'aura remarqué.

19 millions de profils en vente, un précédent balayé d'un revers de main

L'utilisateur répondant au nom de « breach3d » a mis la base de données en vente dès le 16 avril sur les places de marché du dark web, revendiquant le vol de 19 millions de lignes. Ce qui rend la situation particulièrement cuisante, c'est le contexte dans lequel elle s'inscrit. En septembre 2025, une alerte similaire avait circulé, évoquant 12 millions de comptes compromis, avant d'être catégoriquement démentie par les autorités après enquête. À l'époque, l'ANTS avait publié un communiqué affirmant ne pas avoir « identifié d'intrusion » et contestant la cohérence des échantillons diffusés sur le dark web, tout en vantant ses « mesures de sécurité renforcées ». Cette fois, l'incident est officiellement confirmé par le ministère de l'Intérieur lui-même.

Selon Seblatombe, fondateur du blog spécialisé FrenchBreaches, il pourrait s'agir de l'une des plus grandes fuites de données administratives jamais enregistrées en France. Le périmètre est effectivement vertigineux : l'ANTS est le guichet numérique unique de l'État pour l'ensemble des titres officiels. Quiconque a renouvelé un passeport, obtenu un permis de conduire ou immatriculé un véhicule en ligne au cours des dernières années a potentiellement un profil dans la base exfiltrée.

La base contiendrait pour chaque personne les prénoms, nom, adresse e-mail personnelle, date et lieu de naissance, adresse postale complète, numéro de téléphone, et même la confirmation que l'identité a été vérifiée par l'État. Ce dernier détail n'est pas anodin : il signifie que les données ont une valeur certifiée, une crédibilité supplémentaire aux yeux de quiconque souhaiterait les monétiser à des fins frauduleuses.

La communication officielle, ou l'art de minimiser

Le 15 avril, le jour même de la détection de l'incident, l'ANTS a envoyé un courriel à ses utilisateurs. Ce message reconnaissait un accès non autorisé à certaines données personnelles, listait les catégories concernées (nom, prénom, e-mail, date de naissance, adresse) et se concluait par cette formule : « Vous n'avez ainsi aucune démarche à accomplir. » Rassurant, vraiment, pour une agence qui venait de laisser s'évaporer les identités civiles de près d'un cinquième de la population française.

Le communiqué officiel du ministère de l'Intérieur, transmis à l'AFP, est plus précis sur le contenu des données exposées, mais il préserve la même tonalité apaisante. Il insiste sur ce qui ne serait pas concerné : les pièces justificatives, les photographies, les numéros de demande. Il précise également que les données divulguées « ne permettent pas d'accès illégitime au compte du portail », formulation techniquement exacte, mais qui occulte l'essentiel : ces données permettent de construire une usurpation d'identité particulièrement convaincante, bien en dehors du portail de l'ANTS.

Des experts en cybersécurité ont jugé cette communication largement insuffisante au regard de l'étendue réelle de la brèche. Kevin Tellier, chercheur chez Synacktiv, a résumé le risque concret : les données volées peuvent servir à du phishing, à toutes les arnaques qui arrivent par SMS, avec l'adresse, le nom et d'autres informations personnelles qui permettent de crédibiliser une attaque.

Voici le communiqué :

« Sous réserve des investigations en cours, s’agissant des comptes particuliers, les données à caractère personnel concernées seraient des données d’identification : identifiant de connexion, civilité, nom, prénoms, adresse électronique, date de naissance, identifiant unique du compte ; et le cas échéant, d’autres données qui ne sont pas systématiquement présentes dans les comptes : adresse postale, lieu de naissance, téléphone. Les usagers concernés font actuellement l’objet d’une information personnalisée.

« La divulgation des données ne concerne pas les données complémentaires transmises dans le cadre de la réalisation des différentes démarches, telles que les pièces jointes. Ces données personnelles ne permettent pas d’accès illégitime au compte du portail.

« Conformément à l’article 33 du règlement relatif à la protection des données personnelles (RGPD), l’incident a été notifié à la commission nationale de l’informatique et des libertés (CNIL) et un signalement a été transmis à la Procureure de la République de Paris en application de l’article 40 du code de procédure pénale en vue de l’ouverture d’une enquête. L’Agence nationale de la sécurité des systèmes d’information (ANSSI) a été alertée.

Les investigations techniques, débutées dès la détection de l’incident, sont en cours. Elles sont menées par les équipes de l’ANTS et les services compétents. Elles visent à déterminer précisément l’origine de l’incident et son ampleur.

« Des mesures de renforcement de la sécurité pour assurer la continuité des services du portail et la protection des données ont été mises en place.

« Aucune intervention n’est attendue de la part des usagers. Nous leur recommandons cependant de faire preuve de la plus grande vigilance quant aux prochains messages suspects ou inhabituels qu’ils pourraient recevoir (SMS, appel, email, etc.) émanant en apparence de l’ANTS.

« L'ANTS rappelle que toute mise en vente ou diffusion de données présentées comme les siennes constitue une activité illégale. »

L'État face à ses propres failles

Sur le plan procédural, l'ANTS a respecté ses obligations. L'incident a été notifié à la CNIL conformément au RGPD, un signalement a été transmis à la Procureure de la République de Paris, et l'ANSSI a été alertée. Les cases cochées, donc. Ce qui reste ouvert, en revanche, c'est la question fondamentale des responsabilités : qui a développé et maintenu un portail aussi stratégique sans jamais auditer correctement son API ? Quels prestataires ? Avec quels cahiers des charges ? Selon quels processus de revue de sécurité ?

Car ce piratage n'est pas un événement isolé. En 2026, l'URSSAF a subi une fuite en janvier concernant 12 millions de victimes potentielles, des données du CNRS ont été récupérées en février, celles du système d'information sur les armes du ministère de l'Intérieur en mars. La liste s'allonge à un rythme préoccupant, et les institutions publiques françaises semblent structurellement en retard sur un ennemi qui, lui, n'a pas de budget contraint, de marchés publics à respecter, ni de procédures de validation à traverser avant d'appuyer sur « Envoyer ».

Le hacker lui-même, dissimulé derrière la photo du narcotrafiquant Pablo Escobar, a ajouté : « Le gouvernement français ferait mieux de se cantonner aux arts culinaires. Leurs défenses informatiques sont aussi friables que leurs croissants. » Le mot est cruel. Il n'en est pas moins révélateur du fossé de perception qui sépare les attaquants, qui savent exactement ce qu'ils ont trouvé, et une administration qui, dans son courriel du 15 avril, préférait conclure qu'il n'y avait « aucune démarche à accomplir ».

Vers une remise à plat de la sécurité des services publics numériques ?

Il existe en France des dispositifs : l'ANSSI dispose d'un référentiel de sécurité, les audits d'homologation sont théoriquement obligatoires pour les systèmes traitant des données sensibles, et le RGPD impose des obligations de résultat aux responsables de traitement. Ce cadre est globalement solide sur le papier. Ce qui manque, c'est visiblement son application effective et continue, notamment dans les phases d'évolution des API, là où les failles IDOR prolifèrent le plus facilement.

La sécurité informatique ne doit jamais passer après la simplicité d'utilisation. Le secteur public français est de plus en plus visé, et chaque nouvel incident entame un peu plus le capital confiance des Français envers leurs services en ligne. Or ce capital de confiance n'est pas une variable d'ajustement : c'est le fondement même de la légitimité de la dématérialisation des services publics. Si les citoyens ne peuvent pas faire confiance à un portail géré directement par un établissement public du ministère de l'Intérieur, à qui peuvent-ils faire confiance ?

Pour les 19 millions de personnes potentiellement concernées, le risque immédiat est le phishing ciblé. Des courriels ou SMS personnalisés intégrant leur nom, prénom, date de naissance et adresse, se faisant passer pour l'administration fiscale, pour la Sécurité sociale, ou pour l'ANTS elle-même. À plus long terme, le risque d'usurpation d'identité plane : c'est la victime qui se retrouve à devoir prouver son innocence, dans des procédures longues et épuisantes, alors que la faille initiale vient d'un organisme public.

En attendant que l'enquête judiciaire ouverte à Paris détermine l'origine exacte de l'intrusion, son périmètre définitif et les éventuelles responsabilités pénales, une chose est certaine : une faille IDOR sur l'API d'un portail régalien, c'est une faute professionnelle de base, pas une fatalité. Elle se détecte lors d'un pentest élémentaire. Elle se corrige en quelques heures. Le fait qu'elle ait existé, pendant une durée encore inconnue, sur le portail qui délivre les titres d'identité de toute la population française est, à lui seul, un aveu d'échec systémique.

Sources : communiqué de presse Ministère de l'Intérieur, vidéo dans le texte, analyse de la faille

Et vous ?

La dématérialisation accélérée des services publics s'est-elle faite au détriment de la sécurité ? Quelles seraient les conditions minimales pour rendre ce modèle viable sans exposer les citoyens ?

Une faille IDOR est l'une des vulnérabilités les plus basiques et les mieux documentées en sécurité applicative. Son existence sur un portail de cette criticité soulève la question des audits d'homologation : sont-ils réellement effectués, et avec quel niveau d'exigence ?

La communication de crise de l'ANTS, un courriel minimisant conclu par « vous n'avez aucune démarche à accomplir », constitue-t-elle une réponse à la hauteur ? Que devrait imposer le RGPD, ou la loi, en matière de transparence après une violation de données d'une telle ampleur ?

Les prestataires privés qui développent et maintiennent ces portails publics ont-ils leur part de responsabilité juridique en cas de faille avérée ? Le modèle de la sous-traitance informatique à l'État est-il compatible avec les exigences de sécurité qu'il prétend imposer ?

La série de fuites touchant les institutions françaises en 2026 (URSSAF, CNRS, ministère de l'Intérieur, ANTS) révèle-t-elle une vulnérabilité systémique, ou s'agit-il d'incidents indépendants que l'on tend à agréger à tort dans un même récit ?

[fdejaigher]

Une erreur de newbie, d'apprenti non ou mal encadré, ou d'IA ?

Ce n'est pas de l'intrusion, c'est carrément de la diffusion là !

[Fagus]

En fait les données étaient en accès libre pour n'importe quelle enfant s'intéressant à l'informatique.
On peut rêver, mais ça s'appelle un défaut de sécurisation des données. J'espère que la CNIL apportera une condamnation pour que ça change.

[air-dex]

On a donc les données d'identité de 1 citoyen français sur 3 dans la nature. Et ça fait 3 lignes dans les journaux alors que ça devrait être un scandale national.

Dans un monde normal et moral les autorités (in)compétentes démissionneraient. Mais pas ici où c'est la faute aux trafiquants de drogues, aux chômeurs, à La France Insoumise, aux musulmans islamistes, à la situation internationale, à la dette, à Trump, au Rassemblement National... mais jamais la leur. Bref on ne dira pas que la politique de sécurité est un échec, on dira juste qu'elle n'a pas marché.

[weed]

Cela démontre des risques de mettre toutes ses données (ses oeufs) dans le même panier, comme l'Europe essaie de nous imposer avec sa carte ID numérique, avec diplome, ...

le risque zéro n'existe jamais.

[Access_to_folder]

Bonjour.

De manière générale dans les articles sur les fuites de données et autres vulnérabilités, et pas que sur developpez.net, il manque des informations, ce que soulève d'ailleurs l'article "c'est la question fondamentale des responsabilités : qui a développé et maintenu un portail aussi stratégique sans jamais auditer correctement son API ? Quels prestataires ?" :

- si c'est une faille de sécurité de programmation d'un logiciel à façon, le cas présent: nom de la société qui a réalisé la chose (développement par des informaticiens du Ministère ou société sous-traitante...)
- si c'est une faille OS ou logiciel non réalisé à façon : nom et version.

[foetus]

- si c'est une faille de sécurité de programmation d'un logiciel à façon, le cas présent: nom de la société qui a réalisé la chose (développement par des informaticiens du Ministère ou société sous-traitante...)
- si c'est une faille OS ou logiciel non réalisé à façon : nom et version.

faille du logiciel ou faille OS : tu es déjà trop loin.

Si je comprends bien l'article (faille IDOR) la faille est dans le cahier des charges et qu'avec des tests basiques on détecte cette faille.

En gros c'est 1 bon projet étudiant :

• 1 base de données en SQL avec des clefs primaires/ étrangères pour stocker 1 français, 1 document, … Peut-être 1 base de données bien faite, bien propre.
• 1 frontend sûrement bien fait (je n'ai pas été sur le site)

Et pour lier les 2, on passe l'identifiant base de données en GET (par l'URL ?id=XXX) ou POST avec 1 belle requête SQL derrière WHERE ID=$id.

Il faudrait savoir combien a été facturé le site

[Cpt Anderson]

Du moment que y'a pas mon login/mdp pour PornoHub...

[Jipété]

Et comment savoir si on est concerné ou pas ?

[Access_to_folder]

faille du logiciel ou faille OS : tu es déjà trop loin.

Je parlais de façon générale, englobant les autres médias que developpez.net

Et comment savoir si on est concerné ou pas ?

Et comment savoir si on est concerné ou pas ?

L'article indique un mail envoyé aux personnes concernées, mais le piratage étant ancien, l'email n'est peut être plus le même.

[MisterMoa]

La faille IDOR figure depuis des années parmi les plus documentées et les plus connues du monde

La faille IDOR dans l'administration française... En effet, celle-ci est connue du monde entier pour son dur travail...

[Razmauve12]

Pour avoir fait de la presta dans le publique.
Le niveau est affligeant pour des systèmes aussi critique.

Le principale problème des chantiers publiques est TOUJOURS le même; la corruption. Il faut lâcher de lourdes primes à toute une armée d’en-cravaté qui sont potes avec des donneurs d'ordres publiques, avec tous leurs copains, et des rétro-commissions. Voila où part une trop grosse partie des budgets, filer le pognon publique à des mecs qui connaissent des mecs... et après on s'étonne des délais de livraisons qui explosent et des coûts qui explosent le budget initiale.

Un truc qui m'a toujours échappé, c'est que tu missionnes des mecs qui sortent de vieilles mission en Java 4 pendant 5 ans pour leur faire faire un build Java 25 avec un nouveau socle technique, avec une nouvelle infra cloud gcp azure ou quoi dans laquelle ils sont complètement dépassés. C'est souvent, soit, des dinosaures perdus, soit des juniors pas chères qui apprennent avec une obligation de résultat forte.

L'argent des budgets est utilisé à mauvais escient, c'est tout. Le secteur publique ne forme pas, même en passant par les grosses ESN pour déléguer, ça source mal, ça forme mal, ça gère les projets comme des quiches. Et ça s’étonne d'avoir des trous partout tout le temps, surtout que maintenant n'importe quel pirate avec un peu de jugeote et des outils IA accessibles pour gagner du temps peut trouver les trous. Les meilleurs ingés IT français sont dans les grands comptes privées ou les start-up, ils fuient le secteur publique, pourtant gavé d'argent... le privé fait tellement plus à tous les niveaux avec budget identique. Le problème du publique, c'est la compétence et le nivellement par le bas. Tu ne peux pas payer pareil un expert technique dernière technos qu'un "jean michel installe de la bureautique" sous windows parce que ça fait 10 ans qu'il dort dans son siège...

[MisterMoa]

L'argent des budgets est utilisé à mauvais escient, c'est tout. Le secteur publique ne forme pas, même en passant par les grosses ESN pour déléguer, ça source mal, ça forme mal, ça gère les projets comme des quiches.

Surtout qu'il n'y a quasi jamais de responsables, ni de remise en question, et même parfois (très souvent) pas de sanctions à la hauteur de la faute....

Comment cela peut-il fonctionner correctement ?

Si demain une personne subit une usurpation d'identité à cause de cette fuite de données à gogo : quelle administration viendra à son secours ?
Ha oui, elle risque d'avoir des sanctions administratives suivant les actions du fraudeur et elle aura toutes les peines du monde pour prouver sa bonne foi...

[imperio]

L'argent des budgets est utilisé à mauvais escient, c'est tout. Le secteur publique ne forme pas, même en passant par les grosses ESN pour déléguer, ça source mal, ça forme mal, ça gère les projets comme des quiches. Et ça s’étonne d'avoir des trous partout tout le temps, surtout que maintenant n'importe quel pirate avec un peu de jugeote et des outils IA accessibles pour gagner du temps peut trouver les trous. Les meilleurs ingés IT français sont dans les grands comptes privées ou les start-up, ils fuient le secteur publique, pourtant gavé d'argent... le privé fait tellement plus à tous les niveaux avec budget identique. Le problème du publique, c'est la compétence et le nivellement par le bas. Tu ne peux pas payer pareil un expert technique dernière technos qu'un "jean michel installe de la bureautique" sous windows parce que ça fait 10 ans qu'il dort dans son siège...

Je peux apporter un peu de contexte sur comment on en est arrivés à cette situation : quand un projet est développé en interne et qu'il y a un problème, c'est le chef de projet qui est tenu pour responsable. Par-contre si on fait appel à un prestataire, c'est le prestataire qui est responsable. Du coup forcément, pour les chefs de projet, le choix est vite fait...

[Archibald29]

Je propose que l'A.N.T.S soit renommée A.N.T qu'en pensez-vous ?

[walaby15]

Perso, suite à des tentatives de phishing très crédibles, je vais changer mon email et mon numéro de portable.

C'est un peu de travail mais ça me semble le plus efficace.

[Christophe]

Et comment savoir si on est concerné ou pas ?

Si tu es concerné, tu recevra une notification.

Si demain une personne subit une usurpation d'identité à cause de cette fuite de données à gogo : quelle administration viendra à son secours ?

Personne.

J'espère que la CNIL apportera une condamnation pour que ça change.

Probablement, mais est-ce que cela changera les choses ? L'amende sera une condamnation de l'état contre lui-même, qui paiera l'amende ? le contribuable. Ça a été le cas pour France travail, condamné à 5 millions d'euros pour une fuite de données.

Perso, suite à des tentatives de phishing très crédibles, je vais changer mon email et mon numéro de portable.
C'est un peu de travail mais ça me semble le plus efficace.

Vu l'ampleur et le type de données ayant fuité il faudrait aussi :
- changer d'adresse -> en gros déménager
- changer de nom -> très complique

Il nous emmerdent à tout passer en numérique pour un résultat déplorable, personne de contactable en cas de prob. La dernière fois que j'ai refait ma pièce d'identité, j'ai rempli leur formulaire, pour devoir re-remplir un formulaire papier identique sur site. Et là c'est grave. On dirait qu'on est un pays du tiers monde sans moyens. Ah non je déconne, eux au moins n'ont pas les charges.

[Jipété]

Si tu es concerné, tu recevras une notification.

Merci.
Rien reçu à ce jour.

[suricata]

En effet, on peut résilier Free ou SFR, mais comment résilier l'Etat ?

[Christophe]

En effet, on peut résilier Free ou SFR, mais comment résilier l'Etat ?

En allant voter en faisant du dégagisme ?
En faisant la révolution ?

Pas sûr que ça règle vraiment les probs.