Un compteur de profils qui défile, et au bout, 19 millions de dossiers. C’est le butin revendiqué par un pirate qui a visité l’Agence nationale des titres sécurisés (ANTS) comme on feuillette un annuaire. Pas de malware, pas d’exploit sophistiqué : il suffisait de changer un chiffre dans l’URL.
Une faille connue depuis vingt ans
L’intrusion n’a rien d’un exploit technique. Le portail moncompte.ants.gouv.fr, qui gère les demandes de permis de conduire, carte grise, passeport et carte d’identité, reposait sur une API vulnérable à ce que les spécialistes appellent un IDOR (Insecure Direct Object Reference). Concrètement, le serveur identifiait chaque compte par un numéro dans la requête. En incrémentant ce numéro de 1, l’attaquant récupérait le profil suivant, puis le suivant. Aucun contrôle d’autorisation côté serveur.
La faille fait partie du top 10 de l’OWASP depuis des années. Elle est enseignée dès la première semaine en école de cybersécurité. C’est aussi celle que le pirate, qui opère sous le pseudonyme breach3d (et ExtaseHunters sur d’autres forums), a qualifiée de « vraiment stupide » en mettant sa collection en vente.
Ce que contient la base
Le ministère de l’Intérieur a confirmé le 20 avril ce qui avait été détecté cinq jours plus tôt. Les champs aspirés ressemblent à un formulaire administratif complet : nom, prénom, date et lieu de naissance, adresse postale, numéro de téléphone, adresse e-mail, identifiant unique du compte ANTS. Pour les comptes professionnels, s’ajoutent le numéro SIREN et la raison sociale. Certaines entrées incluent même le statut de vérification, c’est-à-dire la mention « identité confirmée par l’État ». Un détail qui transforme un fichier classique en arme pour l’ingénierie sociale.
Les pièces jointes, elles, seraient épargnées. Copies de cartes d’identité, justificatifs de domicile, photos de passeport : ces documents étaient stockés à un autre endroit et n’ont pas suivi. Le ministère précise également qu’aucun mot de passe n’a été compromis et que les portails officiels restent accessibles normalement.
Le pirate tourne en dérision
Sur le forum où la base a été proposée, breach3d n’a pas caché sa satisfaction. Les captures diffusées par des chercheurs montrent le ton moqueur habituel chez les revendeurs de bases volées. « C’était une faille vraiment stupide », écrit-il, avant de conseiller au gouvernement français de « rester dans l’art culinaire » plutôt que de coder des APIs. Le prix demandé n’a pas filtré, mais selon The Register, la base est présentée comme « fraîche », pas recyclée d’anciennes fuites.
Le chiffre revendiqué, 19 millions, représenterait environ un tiers de la population adulte française. L’ANTS n’a pas confirmé ce total. Les autorités parlent d’un « nombre en cours de détermination », mais Bleeping Computer et Security Affairs, qui ont comparé des échantillons publiés sur le forum avec des bases publiques, estiment la volumétrie crédible.
Quatre autorités saisies en 48 heures
Le signalement a été adressé à la CNIL dans les délais prévus par l’article 33 du RGPD, soit 72 heures après la détection de l’incident. Le Parquet de Paris a ouvert une enquête confiée à l’OFAC, l’Office anti-cybercriminalité, et l’ANSSI a été alertée pour appuyer les équipes techniques de France Titres, nouvelle appellation de l’ANTS depuis début 2026.
Le portail lui-même n’a pas été fermé, mais la faille a été corrigée, selon les informations communiquées par le ministère. Les utilisateurs concernés doivent recevoir une notification individuelle, comme l’impose le RGPD lorsqu’une fuite présente un risque élevé pour les droits des personnes.
Le vrai danger s’appelle phishing
Les données volées ne permettent pas de se connecter à un compte ANTS ni de récupérer un vrai document officiel. Elles offrent en revanche tout le nécessaire pour fabriquer un message crédible. Un e-mail annonçant « votre dossier de permis est en attente » avec le bon nom, la bonne date de naissance et la bonne commune de résidence passe presque tous les filtres de vigilance. Même chose pour une fausse relance téléphonique par « un conseiller ANTS » qui récite votre identifiant interne.
L’ANSSI rappelle qu’aucun service public n’envoie de SMS ou d’e-mail demandant d’entrer un identifiant bancaire ou d’ouvrir un lien pour « compléter un dossier ». Les experts conseillent de signaler tout message suspect sur la plateforme Pharos et de changer le mot de passe de la boîte mail associée au compte ANTS. L’adresse e-mail elle-même figure dans la base.
Un précédent qui sent le déjà-vu
Ce n’est pas la première fois qu’une administration française se fait saigner par une faille rudimentaire. France Travail avait perdu 43 millions de dossiers en mars 2024. Quelques semaines plus tôt, la fuite chez Viamedis et Almerys avait exposé 33 millions de numéros de Sécurité sociale. À chaque fois, le même scénario : une API mal protégée, une authentification contournée, et une population entière invitée à surveiller sa boîte de réception pendant des mois.
Le calendrier politique rajoute de la pression. Le projet de loi sur la résilience numérique, qui doit imposer un audit de sécurité annuel pour les plateformes critiques du service public, arrive devant le Parlement en mai. Le texte prévoit des amendes pour les organismes qui laissent traîner des vulnérabilités « notoirement connues » plus de six mois. L’IDOR de l’ANTS en est le cas d’école.
Ce qui peut encore bouger
La CNIL a jusqu’à mi-juillet pour rendre ses conclusions et, éventuellement, sanctionner. Les précédents plafonnent autour du million d’euros pour les administrations publiques, un montant dérisoire face à la volumétrie exposée. Plusieurs associations, dont La Quadrature du Net, annoncent une plainte collective. Le Parquet de Paris, qui gère le volet pénal, doit auditionner les responsables techniques dans les prochaines semaines. Le rapport public du ministère, lui, est attendu pour le 15 mai.
