Fuite ANTS 2026 : les alertes ignorées depuis 2017

L'essentiel sur la fuite ANTS en 30 secondes

 Date : intrusion détectée le 15 avril 2026, confirmation publique le 20 avril.

AmplitudeAmpleur : 11,7 millions de comptes selon le ministère de l'Intérieur ; 18 à 19 millions revendiqués par le hacker «breach3d ».

 Données exposées : nom, prénoms, civilité, date de naissance, email, identifiant unique ANTS, parfois adresse postale, lieu de naissance et téléphone.

faille IDOR (Insecure Direct Object Reference) sur l'API du portail, figurant dans le Top 10 OWASP depuis plus d'une décennie.Cause : faille IDOR (Insecure Direct ObjectReference) sur l'API du portail — figurant dans le Top 10 OWASP depuis plusd'une décennie.

Baptiste Robert (fs0c131y) alertait depuis 2017. Léo Gonzalez (Devensys Cybersecurity) avait signalé deux failles critiques. Aucune corrigée.Le scandale : Baptiste Robert (fs0c131y)alertait depuis 2017. Léo Gonzalez (Devensys Cybersecurity) avait signalé deuxfailles critiques. Aucune corrigée.

RGPD art. 32 et 83 (jusqu'à 20 M€), Code pénal art. 226-17 (5 ans, 300 000 €). CNIL et parquet de Paris saisis.Cadre légal : RGPD art. 32 et 83 (jusqu'à 20M€), Code pénal art. 226-17 (5 ans, 300 000 €). CNIL et parquet de Parissaisis.

 

Fuite ANTS : que s'est-il passé le 15 avril 2026 ?

Le ministère de l'Intérieur a confirmé le 20 avril 2026 une cyberattaque visant le portail de l'Agence nationale des titres sécurisés, rebaptisée France Titres en 2024.

Cette plateforme centralise les démarches liées aux cartes nationales d'identité, passeports, permis de conduire et certificats d'immatriculation.

L'intrusion a été détectée le 15 avril sur l'environnement moncompte.ants.gouv.fr.

La CNIL a été notifiée dans les 72 heures imposées par l'article 33 du RGPD, l'ANSSI alertée, et un signalement transmis au parquet de Paris au titre de l'article 40 du Code de procédure pénale. L'enquête a été confiée à l'Office anti-cybercriminalité (OFAC).

Combien de comptes sont concernés par la fuite ANTS ?

Deux versions s'affrontent sur le périmètre exact de la cyberattaque ANTS :

•     Version officielle : le ministère de l'Intérieur évoque 11,7 millions de comptes concernés (communiqué du 21 avril 2026).

•     Version du hacker : « breach3d » revendique entre 18 et 19 millions d'enregistrements mis en vente sur un forum cybercriminel.

Les attaquants gonflent traditionnellement les volumes pour optimiser leur revente. Mais même au plancher officiel, il s'agit de l'une des plus grandes fuites administratives jamais enregistrées en France, à comparer avec les 43 millions d'enregistrements de France Travail en 2024, ou les 33 millions de Viamedis-Almerys la même année.

Fuite ANTS : quelles données ont été exposées ?

Selon le communiqué officiel de France Titres, voici les données personnelles susceptibles d'avoir fuité.

Données des comptes particuliers

•     Identifiant de connexion ANTS

•     Civilité

•     Nom et prénoms

•     Adresse électronique

•     Date de naissance

•     Identifiant unique du compte ANTS

•     Adresse postale (si renseignée)

•     Lieu de naissance (si renseigné)

•     Numéro de téléphone (si renseigné)

Données des comptes professionnels

Pour les garages, auto-écoles, mairies et autres professionnels habilités, s'ajoutent :

•     Raison sociale

•     SIREN

•     Numéros d'habilitation

Ce qui n'a PAS fuité

L'ANTS confirme que les pièces jointes transmises lors des démarches, photos d'identité, justificatifs de domicile, scans de titres existants, ne sont pas concernées. Les mots de passe non plus.

La faille IDOR : un grand classique du débutant

Qu'est-ce qu'une faille IDOR ?

IDOR signifie Insecure Direct Object Reference, référence directe non sécurisée à un objet.La mécanique tient en une phrase : chaque profil utilisateur est identifié par un numéro dans une requête API, et il suffit d'incrémenter ce numéro pour accéder à la fiche du citoyen suivant.

Aucun contrôle d'autorisation côté serveur. Pas de vérification que l'utilisateur connecté a bien le droit de consulter cette ressource.

Le hacker à l'origine de l'attaque a lui-même qualifié la vulnérabilité de « vraiment stupide ». Le terme est cruel mais juste. La faille IDOR figure dans le Top 10O WASP depuis plus d'une décennie sous l'intitulé Broken Access Control, c'est même la première catégorie du classement OWASP 2021.

Pourquoi c'est une faute professionnelle majeure

C'est le genre de vulnérabilité qu'un audit de sécurité de premier niveau identifie en quelques heures, et qu'un développeur junior correctement formé évite par construction.

Sur un portail régalien gérant les titres d'identité de plusieurs dizaines de millions de Français, c'est un manquement de fond, pas un incident de parcours.

L'article 32 du RGPD impose au responsable de traitement la mise en œuvre de mesures techniques adaptées au risque. Le standard est proportionnel : plus le traitement est sensible et massif, plus l'exigence est haute.

Une vulnérabilité IDOR sur l'API du portail principal de l'ANTS n'est pas une « mesure adaptée au risque »défaillante. C'est l'absence pure et simple d'une mesure pourtant documentée,connue et triviale à corriger.

Fuite ANTS : neuf ans d'alertes ignorées

C'est le cœur du dossier, et la partie qui transforme l'incident technique en scandale politique.

2017 : Baptiste Robert alerte sur l'absence de MFA

Baptiste Robert, 31 ans, hacker éthique connu sous les pseudonymes fs0c131y et ElliotAlderson (référence à Mr. Robot), fondateur de l'entreprise OSINT Predicta Lab, alertait dès 2017 sur l'absence de mesures de sécurité élémentaires au ministère de l'Intérieur, notamment l'absence d'authentification multifacteur (MFA).

Honnêteté intellectuelle : son alerte de 2017 ne ciblait pas spécifiquement l'ANTS, mais le ministère dans son ensemble, dont l'ANTS dépend. Robert n'est pas un trublion isolé.

Son CV inclut la découverte d'une faille critique sur One Plus en 2017, deux failles dans l'application indienne de traçage Covid Aarogya Setu en 2020, et l'analyse en temps réel du piratage du ministère en décembre 2025, où l'attaquant était resté 26 jours dans le réseau interne avant détection.

2025 : Léo Gonzalez signale deux failles critiques à l'ANTS

Léo Gonzalez,cofondateur et directeur général de Devensys Cybersecurity à Montpellier, est plus précis encore. Dans une interview à ICI Hérault publiée fin avril 2026, il affirme avoir signalé deux vulnérabilités critiques à l'ANTS bien avant l'attaque, en tant que « bon citoyen », hors mission contractuelle.

Aucune des deux n'a été corrigée.

Pire : l'une des deux était encore exploitable le 22 avril 2026, soit une semaine après la découverte de l'intrusion. Selon lui, cette faille pourrait être directement liée à celle qu'a utilisée breach3d.

Pour l'ANTS, ils savaient depuis des années qu'ils avaient un niveau de sécurité qui n'était pas haut niveau, ils ne peuvent pas le nier.

Il ajoute un détail glaçant, un confrère lui aurait confié avoir repéré la faille IDOR exacte avant l'attaque, sans oser la signaler par peur de poursuites au titre de l'article 323-1 du Code pénal. La France punit l'accès frauduleux à un système de traitement automatisé de données de deux ans d'emprisonnement et 60000 € d'amende, y compris pour les chercheurs en sécurité qui « voient une porte mal fermée ».

Cadre dissuasif pour les attaquants. Cadre dissuasif aussi,et c'est tout le problème, pour les chercheurs de bonne foi.

Septembre 2025 : un démenti qui se retourne contre l'ANTS

En septembre 2025, une fuite prétendument issue de l'ANTS circule. L'agence dément, qualifie les données de non authentiques. Sept mois plus tard, la même faille IDOR est exploitée et la base ressort, avec un ordre de grandeur strictement identique.

Trois hypothèses, toutes accablantes :

1.    L'analyse technique de septembre 2025 était erronée et l'agence a démenti à tort des données réelles.

2.    L'agence savait et a choisi de minimiser pour éviter la panique.

3.    L'agence n'a pas eu les moyens techniques de vérifier ses propres bases.

Aucune de ces trois lectures ne plaide en faveur de France Titres.

La communication ratée : un cas d'école

Le 15 avril, un courriel est envoyé aux usagers concernés par la fuite ANTS.

Il se conclut par cette phrase, qui mérite désormais sa place dans les manuels de gestion de crise comme contre-exemple :

Vous n'avez ainsi aucune démarche à accomplir.

Techniquement, c'est exact : sans accès aux mots de passe, l'utilisateur n'a effectivement pas à modifier ses identifiants ANTS. Communicationnellement, c'est désastreux. Le message minimise un incident dont l'ampleur réelle se chiffre en millions de personnes exposées au phishing ciblé pour les mois à venir.

Ce n'est qu'à partir du 20 avril, sous la pression médiatique, que France Titres bascule sur un registre plus prudent et invite ses usagers à « redoubler de vigilance ».

Or l'article 34 du RGPD impose une communication claire et non trompeuse aux personnes concernées en cas de violation susceptible d'engendrer un risque élevé pour leurs droits et libertés.

Minimiser une fuite de cette ampleur, même de bonne foi, expose à un grief supplémentaire devant la CNIL si l'instruction venait à établir que l'agence connaissait dès le départ la portée réelle de l'incident.

Quels risques après la fuite ANTS ?

Soyons précis sur ce que cette fuite rend concrètement possible, parce que c'est là que l'argument du « pas d'accès au compte » avancé par l'ANTS se fracasse sur la réalité.

Risque n°1 : phishing ultra-ciblé

Un email qui commence par « Bonjour Marie Dupont, née le 14 mars 1978 à Lille, votre passeport arrive à expiration le 12 mai » est infiniment plus crédible qu'un message générique.

Avec un nom, un prénom, une date de naissance, une adresse postale et un email validés par l'État, n'importe quel attaquant peut industrialiser des campagnes de hameçonnage d'un réalisme redoutable, en se faisant passer pour l'ANTS, FranceConnect, l'administration fiscale, la CAF ou un prestataire de paiement.

C'est la menace la plus immédiate. Elle se matérialise généralement dans les 6 à 18 mois suivant la mise en circulation d'une base.

Risque n°2 : usurpation d'identité

Croisée avec d'autres fuites, FICOBA en janvier 2026 (1,2 million de comptes bancaires),ÉduConnect début avril, ou des bases issues du secteur privé, la base ANTS permet de reconstituer des profils civils quasi complets.

Suffisants pour ouvrir des comptes en ligne, souscrire des crédits à la consommation, demander des duplicatas administratifs, ou enregistrer un opérateur téléphonique en nom propre.

Risque n°3 : la charge de la preuve inversée

Si une victime se retrouve à devoir prouver qu'elle n'a pas ouvert un crédit qu'un fraudeur a souscrit en son nom, ce n'est ni l'ANTS ni l'État qui supportera la charge de la preuve : c'est elle.

Procédures longues, déclarations à Perceval, plaintes,recours auprès des organismes prêteurs. Le coût de la défaillance régalienne,comme souvent, sera externalisé sur les usagers.

Fuite ANTS et RGPD : le cadre juridique applicable

C'est ici que l'affaire devient juridiquement explosive. Récapitulons l'arsenal mobilisable contre l'ANTS.

Côté RGPD : ce que risque l'agence

L'article 32 du RGPD impose des mesures techniques et organisationnelles adaptées au risque.L'article 33 (notification à la CNIL sous 72 h) et l'article 34 (communication aux personnes concernées) ont été formellement respectés, mais le contenu de la communication initiale pourrait être analysé comme une violation de l'obligation de transparence.

L'article 83 prévoit des amendes administratives pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial, le plus élevé étant retenu.

Pour un opérateur public, le calcul est moins direct, mais la CNIL dispose d'un précédent : en septembre 2024, elle a sanctionné France Travail à hauteur de 5 millions d'euros pour une violation de données. La sanction d'un opérateur public par une autorité administrative indépendante française n'a donc rien d'inédit, même si elle conserve sa dimension ubuesque, l'État se sanctionnant lui-même via ses propres organes.

Côté Code pénal

L'article 226-17 du Code pénal punit de cinq ans d'emprisonnement et 300 000 euros d'amende le fait de procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites pour préserver leur sécurité. Instrument peu mobilisé en pratique, mais théoriquement disponible.

L'article 323-1 du Code pénal vise l'attaquant : accès et maintien frauduleux dans un système de traitement automatisé de données, deux ans d'emprisonnement et 60 000 € d'amende.

C'est sur ce fondement que le parquet de Paris a saisi l'OFAC.

Côté victimes : recours et indemnisation

L'article 82 du RGPD ouvre un droit à réparation pour préjudice matériel ou moral. Depuis l'arrêt CJUE Österreichische Post (4 mai 2023, C-300/21), la simple violation du RGPD ne suffit pas, il faut établir un préjudice et un lien de causalité.

Mais le préjudice moral (anxiété documentée, temps consacré à la gestion des conséquences, vigilance accrue) est désormais clairement indemnisable, sans seuil de gravité requis depuis l'arrêt CJUE VB c. Natsionalna agentsia zaprihodite (14 décembre 2023, C-340/21).

Des actions collectives commencent à se structurer sur la fuite ANTS. La prescription est de cinq ans à compter de la connaissance du dommage.

Suis-je concerné par la fuite ANTS ?

Vous êtes potentiellement concerné si vous avez créé un compte sur ants.gouv.fr entre 2009 (date de création de l'agence) et avril 2026, quel qu'en soit le motif :

•     Demande de passeport ou de carte nationale d'identité

•     Demande de permis de conduire (titre, duplicata,échange)

•     Demande de carte grise / certificat d'immatriculation

•     Démarche pour un véhicule (changement de propriétaire,déclaration de cession)

•     Compte professionnel (garage, auto-école, mairie,préfecture)

L'ANTS a indiqué que les usagers concernés sont contactés individuellement par email. Cela dit, l'absence de notification ne garantit pas que vous êtes hors du périmètre, la base mise en vente excède potentiellement le périmètre officiellement reconnu.

Que faire si vos données ANTS ont fuité ?

Mesures immédiates (à faire dans les 7 jours)

ainsi que ceux de toutes vos autres plateformes utilisant la même adresse email.

Modifiez votre mot de passe ANTS ainsi que ceux de toutes vos autres plateformes utilisant la même adresse email.

Activez la double authentification (2FA) partout où c'est possible, sur votre boîte mail principale en priorité.

Supprimez de votre boîte mail toutes les pièces jointes sensibles (copies de pièces d'identité, justificatifs de domicile) qui pourraient s'y trouver depuis vos précédentes démarches.

Vérifiez vos comptes bancaires quotidiennement pendant un mois. Activez les alertes de transaction si ce n'est pas fait.

Vigilance prolongée (sur 12 à 18 mois)

Ne cliquez sur aucun lien présent dans un email ou SMS prétendument envoyé par l'ANTS, France Connect, la CAF, les impôts ou tout autre service public, même s'il vous appelle par votre nom et reprend des éléments personnels.

Vérifiez l'expéditeur réel des emails (l'adresse, pas le nom affiché).

Signalez tout message suspect sur signal-spam.fr ou par SMS au 33700.

Avec ces données, les campagnes de phishing deviennent redoutablement crédibles, d'où l'importance de savoir reconnaître un scam, CTRLZed propose un article pratique pour se faire : https://www.ctrlzed-media.fr/post/reconnaitre-scam

Si vous êtes victime d'une usurpation d'identité

Déposez un signalement sur Perceval (service-public.fr) pour usurpation à des fins frauduleuses.

Déposez plainte au commissariat ou en ligne via Pré-Plainte en Ligne, sur le fondement de l'article 323-1 du Code pénal contre l'attaquant et de l'article 226-4-1 (usurpation d'identité) contre l'usurpateur final.

Saisissez la CNIL sur cnil.fr pour manquement de l'ANTS au RGPD.

Envisagez de rejoindre une action collective, qui mutualise les coûts et amplifie la pression sur l'agence.

FAQ : fuite ANTS, vos questions

La fuite ANTS est-elle confirmée officiellement ?

Oui. Le ministère de l'Intérieur a publié un communiqué officiel le 20 avril 2026 confirmant l'incident de sécurité. France Titres a notifié la CNIL et l'ANSSI,et un signalement a été transmis au parquet de Paris.

Combien de personnes sont concernées par la fuite ANTS ?

Le ministère évoque 11,7 millions de comptes. Le hacker revendique entre 18 et 19 millions d'enregistrements. Le périmètre exact reste à confirmer par les investigations en cours.

Mon mot de passe ANTS a-t-il fuité ?

Non, selon l'ANTS. Les mots de passe ne font pas partie des données exposées. Modifier le sien reste néanmoins une bonne pratique de précaution.

Mes pièces d'identité scannées ont-elles fuité ?

Non. Les pièces jointes transmises lors des démarches (photos, justificatifs de domicile) ne sont pas concernées par la fuite ANTS.

Puis-je porter plainte contre l'ANTS pour la fuite de mes données ?

Oui, sur plusieurs fondements : saisine de la CNIL pour manquement au RGPD (gratuite, en ligne), action en responsabilité civile sur le fondement de l'article 82 du RGPD, et possibilité de rejoindre une action collective. La prescription est de 5 ans à compter de la connaissance du dommage.

Comment se prémunir du phishing post-fuite ANTS ?

Règle d'or :l'ANTS ne demande jamais d'informations sensibles par SMS ou email, et ne sollicite jamais de paiement par ces canaux. En cas de doute, n'utilisez que l'URL officielle ants.gouv.fr saisie manuellement dans votre navigateur.

Pourquoi l'ANTS n'a-t-elle pas corrigé les failles signalées ?

C'est précisément l'angle mort de cette affaire. Les chercheurs Baptiste Robert et Léo Gonzalez ont signalé des vulnérabilités sans réaction efficace de l'agence.La question relève désormais de l'enquête de l'OFAC et de l'instruction CNIL.

 

 

L'essentiel sur la fuite ANTS en 30 secondes

 Date : intrusion détectée le 15 avril 2026, confirmation publique le 20 avril.

AmplitudeAmpleur : 11,7 millions de comptes selon le ministère de l'Intérieur ; 18 à 19 millions revendiqués par le hacker «breach3d ».

 Données exposées : nom, prénoms, civilité, date de naissance, email, identifiant unique ANTS, parfois adresse postale, lieu de naissance et téléphone.

faille IDOR (Insecure Direct Object Reference) sur l'API du portail, figurant dans le Top 10 OWASP depuis plus d'une décennie.Cause : faille IDOR (Insecure Direct ObjectReference) sur l'API du portail — figurant dans le Top 10 OWASP depuis plusd'une décennie.

Baptiste Robert (fs0c131y) alertait depuis 2017. Léo Gonzalez (Devensys Cybersecurity) avait signalé deux failles critiques. Aucune corrigée.Le scandale : Baptiste Robert (fs0c131y)alertait depuis 2017. Léo Gonzalez (Devensys Cybersecurity) avait signalé deuxfailles critiques. Aucune corrigée.

RGPD art. 32 et 83 (jusqu'à 20 M€), Code pénal art. 226-17 (5 ans, 300 000 €). CNIL et parquet de Paris saisis.Cadre légal : RGPD art. 32 et 83 (jusqu'à 20M€), Code pénal art. 226-17 (5 ans, 300 000 €). CNIL et parquet de Parissaisis.

 

Fuite ANTS : que s'est-il passé le 15 avril 2026 ?

Le ministère de l'Intérieur a confirmé le 20 avril 2026 une cyberattaque visant le portail de l'Agence nationale des titres sécurisés, rebaptisée France Titres en 2024.

Cette plateforme centralise les démarches liées aux cartes nationales d'identité, passeports, permis de conduire et certificats d'immatriculation.

L'intrusion a été détectée le 15 avril sur l'environnement moncompte.ants.gouv.fr.

La CNIL a été notifiée dans les 72 heures imposées par l'article 33 du RGPD, l'ANSSI alertée, et un signalement transmis au parquet de Paris au titre de l'article 40 du Code de procédure pénale. L'enquête a été confiée à l'Office anti-cybercriminalité (OFAC).

Combien de comptes sont concernés par la fuite ANTS ?

Deux versions s'affrontent sur le périmètre exact de la cyberattaque ANTS :

•     Version officielle : le ministère de l'Intérieur évoque 11,7 millions de comptes concernés (communiqué du 21 avril 2026).

•     Version du hacker : « breach3d » revendique entre 18 et 19 millions d'enregistrements mis en vente sur un forum cybercriminel.

Les attaquants gonflent traditionnellement les volumes pour optimiser leur revente. Mais même au plancher officiel, il s'agit de l'une des plus grandes fuites administratives jamais enregistrées en France, à comparer avec les 43 millions d'enregistrements de France Travail en 2024, ou les 33 millions de Viamedis-Almerys la même année.

Fuite ANTS : quelles données ont été exposées ?

Selon le communiqué officiel de France Titres, voici les données personnelles susceptibles d'avoir fuité.

Données des comptes particuliers

•     Identifiant de connexion ANTS

•     Civilité

•     Nom et prénoms

•     Adresse électronique

•     Date de naissance

•     Identifiant unique du compte ANTS

•     Adresse postale (si renseignée)

•     Lieu de naissance (si renseigné)

•     Numéro de téléphone (si renseigné)

Données des comptes professionnels

Pour les garages, auto-écoles, mairies et autres professionnels habilités, s'ajoutent :

•     Raison sociale

•     SIREN

•     Numéros d'habilitation

Ce qui n'a PAS fuité

L'ANTS confirme que les pièces jointes transmises lors des démarches, photos d'identité, justificatifs de domicile, scans de titres existants, ne sont pas concernées. Les mots de passe non plus.

La faille IDOR : un grand classique du débutant

Qu'est-ce qu'une faille IDOR ?

IDOR signifie Insecure Direct Object Reference, référence directe non sécurisée à un objet.La mécanique tient en une phrase : chaque profil utilisateur est identifié par un numéro dans une requête API, et il suffit d'incrémenter ce numéro pour accéder à la fiche du citoyen suivant.

Aucun contrôle d'autorisation côté serveur. Pas de vérification que l'utilisateur connecté a bien le droit de consulter cette ressource.

Le hacker à l'origine de l'attaque a lui-même qualifié la vulnérabilité de « vraiment stupide ». Le terme est cruel mais juste. La faille IDOR figure dans le Top 10O WASP depuis plus d'une décennie sous l'intitulé Broken Access Control, c'est même la première catégorie du classement OWASP 2021.

Pourquoi c'est une faute professionnelle majeure

C'est le genre de vulnérabilité qu'un audit de sécurité de premier niveau identifie en quelques heures, et qu'un développeur junior correctement formé évite par construction.

Sur un portail régalien gérant les titres d'identité de plusieurs dizaines de millions de Français, c'est un manquement de fond, pas un incident de parcours.

L'article 32 du RGPD impose au responsable de traitement la mise en œuvre de mesures techniques adaptées au risque. Le standard est proportionnel : plus le traitement est sensible et massif, plus l'exigence est haute.

Une vulnérabilité IDOR sur l'API du portail principal de l'ANTS n'est pas une « mesure adaptée au risque »défaillante. C'est l'absence pure et simple d'une mesure pourtant documentée,connue et triviale à corriger.

Fuite ANTS : neuf ans d'alertes ignorées

C'est le cœur du dossier, et la partie qui transforme l'incident technique en scandale politique.

2017 : Baptiste Robert alerte sur l'absence de MFA

Baptiste Robert, 31 ans, hacker éthique connu sous les pseudonymes fs0c131y et ElliotAlderson (référence à Mr. Robot), fondateur de l'entreprise OSINT Predicta Lab, alertait dès 2017 sur l'absence de mesures de sécurité élémentaires au ministère de l'Intérieur, notamment l'absence d'authentification multifacteur (MFA).

Honnêteté intellectuelle : son alerte de 2017 ne ciblait pas spécifiquement l'ANTS, mais le ministère dans son ensemble, dont l'ANTS dépend. Robert n'est pas un trublion isolé.

Son CV inclut la découverte d'une faille critique sur One Plus en 2017, deux failles dans l'application indienne de traçage Covid Aarogya Setu en 2020, et l'analyse en temps réel du piratage du ministère en décembre 2025, où l'attaquant était resté 26 jours dans le réseau interne avant détection.

2025 : Léo Gonzalez signale deux failles critiques à l'ANTS

Léo Gonzalez,cofondateur et directeur général de Devensys Cybersecurity à Montpellier, est plus précis encore. Dans une interview à ICI Hérault publiée fin avril 2026, il affirme avoir signalé deux vulnérabilités critiques à l'ANTS bien avant l'attaque, en tant que « bon citoyen », hors mission contractuelle.

Aucune des deux n'a été corrigée.

Pire : l'une des deux était encore exploitable le 22 avril 2026, soit une semaine après la découverte de l'intrusion. Selon lui, cette faille pourrait être directement liée à celle qu'a utilisée breach3d.

Pour l'ANTS, ils savaient depuis des années qu'ils avaient un niveau de sécurité qui n'était pas haut niveau, ils ne peuvent pas le nier.

Il ajoute un détail glaçant, un confrère lui aurait confié avoir repéré la faille IDOR exacte avant l'attaque, sans oser la signaler par peur de poursuites au titre de l'article 323-1 du Code pénal. La France punit l'accès frauduleux à un système de traitement automatisé de données de deux ans d'emprisonnement et 60000 € d'amende, y compris pour les chercheurs en sécurité qui « voient une porte mal fermée ».

Cadre dissuasif pour les attaquants. Cadre dissuasif aussi,et c'est tout le problème, pour les chercheurs de bonne foi.

Septembre 2025 : un démenti qui se retourne contre l'ANTS

En septembre 2025, une fuite prétendument issue de l'ANTS circule. L'agence dément, qualifie les données de non authentiques. Sept mois plus tard, la même faille IDOR est exploitée et la base ressort, avec un ordre de grandeur strictement identique.

Trois hypothèses, toutes accablantes :

1.    L'analyse technique de septembre 2025 était erronée et l'agence a démenti à tort des données réelles.

2.    L'agence savait et a choisi de minimiser pour éviter la panique.

3.    L'agence n'a pas eu les moyens techniques de vérifier ses propres bases.

Aucune de ces trois lectures ne plaide en faveur de France Titres.

La communication ratée : un cas d'école

Le 15 avril, un courriel est envoyé aux usagers concernés par la fuite ANTS.

Il se conclut par cette phrase, qui mérite désormais sa place dans les manuels de gestion de crise comme contre-exemple :

Vous n'avez ainsi aucune démarche à accomplir.

Techniquement, c'est exact : sans accès aux mots de passe, l'utilisateur n'a effectivement pas à modifier ses identifiants ANTS. Communicationnellement, c'est désastreux. Le message minimise un incident dont l'ampleur réelle se chiffre en millions de personnes exposées au phishing ciblé pour les mois à venir.

Ce n'est qu'à partir du 20 avril, sous la pression médiatique, que France Titres bascule sur un registre plus prudent et invite ses usagers à « redoubler de vigilance ».

Or l'article 34 du RGPD impose une communication claire et non trompeuse aux personnes concernées en cas de violation susceptible d'engendrer un risque élevé pour leurs droits et libertés.

Minimiser une fuite de cette ampleur, même de bonne foi, expose à un grief supplémentaire devant la CNIL si l'instruction venait à établir que l'agence connaissait dès le départ la portée réelle de l'incident.

Quels risques après la fuite ANTS ?

Soyons précis sur ce que cette fuite rend concrètement possible, parce que c'est là que l'argument du « pas d'accès au compte » avancé par l'ANTS se fracasse sur la réalité.

Risque n°1 : phishing ultra-ciblé

Un email qui commence par « Bonjour Marie Dupont, née le 14 mars 1978 à Lille, votre passeport arrive à expiration le 12 mai » est infiniment plus crédible qu'un message générique.

Avec un nom, un prénom, une date de naissance, une adresse postale et un email validés par l'État, n'importe quel attaquant peut industrialiser des campagnes de hameçonnage d'un réalisme redoutable, en se faisant passer pour l'ANTS, FranceConnect, l'administration fiscale, la CAF ou un prestataire de paiement.

C'est la menace la plus immédiate. Elle se matérialise généralement dans les 6 à 18 mois suivant la mise en circulation d'une base.

Risque n°2 : usurpation d'identité

Croisée avec d'autres fuites, FICOBA en janvier 2026 (1,2 million de comptes bancaires),ÉduConnect début avril, ou des bases issues du secteur privé, la base ANTS permet de reconstituer des profils civils quasi complets.

Suffisants pour ouvrir des comptes en ligne, souscrire des crédits à la consommation, demander des duplicatas administratifs, ou enregistrer un opérateur téléphonique en nom propre.

Risque n°3 : la charge de la preuve inversée

Si une victime se retrouve à devoir prouver qu'elle n'a pas ouvert un crédit qu'un fraudeur a souscrit en son nom, ce n'est ni l'ANTS ni l'État qui supportera la charge de la preuve : c'est elle.

Procédures longues, déclarations à Perceval, plaintes,recours auprès des organismes prêteurs. Le coût de la défaillance régalienne,comme souvent, sera externalisé sur les usagers.

Fuite ANTS et RGPD : le cadre juridique applicable

C'est ici que l'affaire devient juridiquement explosive. Récapitulons l'arsenal mobilisable contre l'ANTS.

Côté RGPD : ce que risque l'agence

L'article 32 du RGPD impose des mesures techniques et organisationnelles adaptées au risque.L'article 33 (notification à la CNIL sous 72 h) et l'article 34 (communication aux personnes concernées) ont été formellement respectés, mais le contenu de la communication initiale pourrait être analysé comme une violation de l'obligation de transparence.

L'article 83 prévoit des amendes administratives pouvant atteindre 20 millions d'euros ou 4% du chiffre d'affaires annuel mondial, le plus élevé étant retenu.

Pour un opérateur public, le calcul est moins direct, mais la CNIL dispose d'un précédent : en septembre 2024, elle a sanctionné France Travail à hauteur de 5 millions d'euros pour une violation de données. La sanction d'un opérateur public par une autorité administrative indépendante française n'a donc rien d'inédit, même si elle conserve sa dimension ubuesque, l'État se sanctionnant lui-même via ses propres organes.

Côté Code pénal

L'article 226-17 du Code pénal punit de cinq ans d'emprisonnement et 300 000 euros d'amende le fait de procéder à un traitement de données à caractère personnel sans mettre en œuvre les mesures prescrites pour préserver leur sécurité. Instrument peu mobilisé en pratique, mais théoriquement disponible.

L'article 323-1 du Code pénal vise l'attaquant : accès et maintien frauduleux dans un système de traitement automatisé de données, deux ans d'emprisonnement et 60 000 € d'amende.

C'est sur ce fondement que le parquet de Paris a saisi l'OFAC.

Côté victimes : recours et indemnisation

L'article 82 du RGPD ouvre un droit à réparation pour préjudice matériel ou moral. Depuis l'arrêt CJUE Österreichische Post (4 mai 2023, C-300/21), la simple violation du RGPD ne suffit pas, il faut établir un préjudice et un lien de causalité.

Mais le préjudice moral (anxiété documentée, temps consacré à la gestion des conséquences, vigilance accrue) est désormais clairement indemnisable, sans seuil de gravité requis depuis l'arrêt CJUE VB c. Natsionalna agentsia zaprihodite (14 décembre 2023, C-340/21).

Des actions collectives commencent à se structurer sur la fuite ANTS. La prescription est de cinq ans à compter de la connaissance du dommage.

Suis-je concerné par la fuite ANTS ?

Vous êtes potentiellement concerné si vous avez créé un compte sur ants.gouv.fr entre 2009 (date de création de l'agence) et avril 2026, quel qu'en soit le motif :

•     Demande de passeport ou de carte nationale d'identité

•     Demande de permis de conduire (titre, duplicata,échange)

•     Demande de carte grise / certificat d'immatriculation

•     Démarche pour un véhicule (changement de propriétaire,déclaration de cession)

•     Compte professionnel (garage, auto-école, mairie,préfecture)

L'ANTS a indiqué que les usagers concernés sont contactés individuellement par email. Cela dit, l'absence de notification ne garantit pas que vous êtes hors du périmètre, la base mise en vente excède potentiellement le périmètre officiellement reconnu.

Que faire si vos données ANTS ont fuité ?

Mesures immédiates (à faire dans les 7 jours)

ainsi que ceux de toutes vos autres plateformes utilisant la même adresse email.

Modifiez votre mot de passe ANTS ainsi que ceux de toutes vos autres plateformes utilisant la même adresse email.

Activez la double authentification (2FA) partout où c'est possible, sur votre boîte mail principale en priorité.

Supprimez de votre boîte mail toutes les pièces jointes sensibles (copies de pièces d'identité, justificatifs de domicile) qui pourraient s'y trouver depuis vos précédentes démarches.

Vérifiez vos comptes bancaires quotidiennement pendant un mois. Activez les alertes de transaction si ce n'est pas fait.

Vigilance prolongée (sur 12 à 18 mois)

Ne cliquez sur aucun lien présent dans un email ou SMS prétendument envoyé par l'ANTS, France Connect, la CAF, les impôts ou tout autre service public, même s'il vous appelle par votre nom et reprend des éléments personnels.

Vérifiez l'expéditeur réel des emails (l'adresse, pas le nom affiché).

Signalez tout message suspect sur signal-spam.fr ou par SMS au 33700.

Avec ces données, les campagnes de phishing deviennent redoutablement crédibles, d'où l'importance de savoir reconnaître un scam, CTRLZed propose un article pratique pour se faire : https://www.ctrlzed-media.fr/post/reconnaitre-scam

Si vous êtes victime d'une usurpation d'identité

Déposez un signalement sur Perceval (service-public.fr) pour usurpation à des fins frauduleuses.

Déposez plainte au commissariat ou en ligne via Pré-Plainte en Ligne, sur le fondement de l'article 323-1 du Code pénal contre l'attaquant et de l'article 226-4-1 (usurpation d'identité) contre l'usurpateur final.

Saisissez la CNIL sur cnil.fr pour manquement de l'ANTS au RGPD.

Envisagez de rejoindre une action collective, qui mutualise les coûts et amplifie la pression sur l'agence.

FAQ : fuite ANTS, vos questions

La fuite ANTS est-elle confirmée officiellement ?

Oui. Le ministère de l'Intérieur a publié un communiqué officiel le 20 avril 2026 confirmant l'incident de sécurité. France Titres a notifié la CNIL et l'ANSSI,et un signalement a été transmis au parquet de Paris.

Combien de personnes sont concernées par la fuite ANTS ?

Le ministère évoque 11,7 millions de comptes. Le hacker revendique entre 18 et 19 millions d'enregistrements. Le périmètre exact reste à confirmer par les investigations en cours.

Mon mot de passe ANTS a-t-il fuité ?

Non, selon l'ANTS. Les mots de passe ne font pas partie des données exposées. Modifier le sien reste néanmoins une bonne pratique de précaution.

Mes pièces d'identité scannées ont-elles fuité ?

Non. Les pièces jointes transmises lors des démarches (photos, justificatifs de domicile) ne sont pas concernées par la fuite ANTS.

Puis-je porter plainte contre l'ANTS pour la fuite de mes données ?

Oui, sur plusieurs fondements : saisine de la CNIL pour manquement au RGPD (gratuite, en ligne), action en responsabilité civile sur le fondement de l'article 82 du RGPD, et possibilité de rejoindre une action collective. La prescription est de 5 ans à compter de la connaissance du dommage.

Comment se prémunir du phishing post-fuite ANTS ?

Règle d'or :l'ANTS ne demande jamais d'informations sensibles par SMS ou email, et ne sollicite jamais de paiement par ces canaux. En cas de doute, n'utilisez que l'URL officielle ants.gouv.fr saisie manuellement dans votre navigateur.

Pourquoi l'ANTS n'a-t-elle pas corrigé les failles signalées ?

C'est précisément l'angle mort de cette affaire. Les chercheurs Baptiste Robert et Léo Gonzalez ont signalé des vulnérabilités sans réaction efficace de l'agence.La question relève désormais de l'enquête de l'OFAC et de l'instruction CNIL.