Modifier un identifiant dans une URL. Voilà ce qu’il fallait savoir faire pour aspirer les données de n’importe quel usager de l’ANTS. Le ministère de l’Intérieur a confirmé lundi une attaque informatique découverte le 15 avril, et un pirate revendique 19 millions d’enregistrements d’état civil désormais mis en vente sur un forum cybercriminel.
Une faille basique sur moncompte.ants.gouv.fr
L’Agence nationale des titres sécurisés gère les démarches en ligne pour les passeports, cartes nationales d’identité, permis de conduire et cartes grises. Son portail moncompte.ants.gouv.fr a été attaqué via une vulnérabilité de type IDOR, selon le spécialiste FrenchBreaches, qui a révélé l’affaire. Dans le jargon, cela signifie que l’API servant les données ne vérifiait pas si la personne consultant un dossier avait bien le droit de le lire. Il suffisait de changer un chiffre dans une requête pour voir le dossier du voisin. Un type de faille enseigné en première année d’école d’informatique, classée en tête du top 10 OWASP depuis 2007.
19 millions d’état civil en vente
Le pirate, qui sévit sous le pseudonyme « breach3d » sur un forum cybercriminel, propose un lot massif. Les champs couvrent l’ensemble de l’état civil administratif : nom, prénoms, email, date et lieu de naissance, adresse postale, numéro de téléphone. S’y ajoute une mention qui rend ce jeu de données particulièrement précieux pour les escrocs, la confirmation que l’identité a été vérifiée par l’État. Pas d’inscriptions fantaisistes ni de fausses identités. Chaque ligne correspond à un Français existant, reconnu par l’administration. Selon Clubic, qui a consulté l’annonce de revente, le prix se négocie en cryptomonnaies.
L’ANTS prévient ses usagers par email
Le ministère de l’Intérieur et de l’Outre-mer a confirmé l’incident dans un communiqué diffusé lundi. « L’Agence nationale des titres sécurisés a été visée par une attaque informatique. Des données personnelles ont potentiellement été divulguées », indique le texte relayé par franceinfo. Les personnes concernées reçoivent un email direct depuis ce lundi. La CNIL a été saisie, comme l’impose le RGPD pour toute violation de données d’ampleur, et le parquet de Paris a ouvert une enquête préliminaire confiée à la brigade de lutte contre la cybercriminalité.
Pourquoi cette fuite fait plus mal que les autres
Les fuites massives s’accumulent depuis deux ans : Pôle emploi, Free, SFR, mutuelles, assurances. Celle-ci a une particularité. Les données proviennent d’une administration régalienne qui centralise les titres officiels. Un fraudeur qui achète le lot dispose d’une base propre, avec des champs critiques, prête à alimenter une campagne de phishing ciblé. Un mail qui commence par « Bonjour Monsieur Dupont, votre permis de conduire enregistré à Nantes le 12 mars 2019 doit être renouvelé », avec numéro de téléphone à l’appui, change tout. Sans données certifiées, ce genre de message sent souvent l’arnaque. Avec les données ANTS, il devient crédible pour un très grand nombre de victimes potentielles. Le ratio de réussite des campagnes de phishing grimpe à plus de 30 % selon Verizon quand les fraudeurs disposent de trois champs personnels vérifiés, contre 4 % pour un envoi massif sans ciblage. La base ANTS fournit bien plus que trois champs.
Un correctif qui tient en une ligne de code
Le plus embarrassant tient dans le mode d’attaque. L’IDOR figure parmi les failles les mieux documentées du web. Le correctif standard consiste à vérifier, à chaque requête, que l’utilisateur authentifié a le droit d’accéder à la ressource demandée. Quelques lignes de code suffisent. « C’était une faille vraiment stupide », aurait confié le hacker au site FrenchBreaches. Les exploits de ce type sont à la portée d’un étudiant en deuxième année de cybersécurité. Le CERT-FR, agence de cybersécurité de l’État, n’a pas encore publié de note technique sur le vecteur exact, mais les éléments communiqués par FrenchBreaches correspondent au schéma classique de l’IDOR appliqué à une API REST.
Ce que risquent les 19 millions de Français
Premier danger : le phishing par email et SMS. Les fraudeurs vont pouvoir utiliser prénom, adresse et date de naissance pour rendre leurs messages parfaitement crédibles. Deuxième risque : l’usurpation d’identité administrative. Ouvrir une ligne téléphonique, souscrire un crédit à la consommation ou demander un duplicata de permis chez un autre organisme devient plus facile avec un dossier complet et vérifié. Les victimes qui souhaitent réagir peuvent activer la double authentification sur leurs comptes administratifs, demander à leur banque l’ajout d’une alerte au Fichier central des chèques et surveiller leur déclaration fiscale en ligne dans les semaines à venir pour détecter une éventuelle manipulation.
Une notification qui arrive tard pour certains
Entre la découverte du 15 avril et l’annonce publique du 20 avril, cinq jours se sont écoulés. Le RGPD impose 72 heures pour informer la CNIL, délai respecté. Les usagers, eux, n’apprennent l’affaire que depuis ce lundi. L’ANTS précise que les victimes sont notifiées individuellement par email, une pratique louable mais qui laisse une question ouverte : les comptes dont l’adresse mail a changé depuis la création du dossier ne recevront rien. Pour savoir si leur état civil fait partie du lot, les Français pourront vérifier dans les prochains jours sur haveibeenpwned.com, où les jeux de données compromis sont indexés une fois authentifiés. FrenchBreaches tient également un annuaire public des fuites françaises, qui a confirmé la revendication dès dimanche soir.
La Direction nationale de la police judiciaire a repris le dossier lundi matin et travaille en lien avec la CNIL sur l’identification du vendeur. L’agence, qui avait déjà fait l’objet d’une alerte sur son service carte grise en 2023, dispose d’un répit judiciaire pour corriger son API et auditer ses autres services en ligne. Le prochain rapport public du CERT-FR sur l’affaire est attendu avant fin avril.
