On attendait un groupe de hackers étatiques, un collectif organisé, une attaque sophistiquée. Le portail régalien de 11,7 millions de Français a été vidé par un lycéen de 15 ans, depuis chez lui, en exploitant une faille qu'un stagiaire aurait dû détecter lors d'une revue de code.
Le 15 avril 2026, l'Agence nationale des titres sécurisés, désormais connue sous le nom de France Titres, détectait une activité réseau anormale sur son portail ants.gouv.fr. Le lendemain, un individu se présentant sous le pseudonyme "breach3d" mettait en vente sur un forum cybercriminel une base présentée comme issue des systèmes de l'agence : entre 18 et 19 millions d'enregistrements, comprenant les données personnelles d'une large partie de la population adulte française. Le ministère de l'Intérieur a confirmé l'incident le 20 avril, en précisant le chiffre officiel : 11,7 millions de comptes concernés.
Trois semaines plus tard, le tableau est complet. Le suspect a été identifié et mis en examen. Le Premier ministre s'est déplacé. Deux cents millions d'euros ont été débloqués en urgence. Et une phrase du Premier ministre résume mieux que tous les rapports techniques l'état réel de la cybersécurité de l'État français : "Depuis le début de 2026, nous faisons face à environ trois vols de données par jour." Voici le bilan factuel de l'incident le plus médiatisé de l'année, et ce qu'il signifie concrètement pour vous.
La chronologie complète de l'incident
Détection de l'intrusion
France Titres détecte une activité réseau anormale sur le portail ants.gouv.fr. Conformément à l'article 33 du RGPD, la CNIL est notifiée, l'ANSSI alertée, et un signalement transmis à la procureure de la République de Paris au titre de l'article 40 du Code de procédure pénale. L'agence envoie dans la foulée un email à ses utilisateurs, concluant par : "Vous n'avez ainsi aucune démarche à accomplir."
Mise en vente des données sur le dark web
Le hacker "breach3d" publie une annonce de vente sur un forum cybercriminel : 18 à 19 millions d'enregistrements présentés comme issus de l'ANTS. Le chercheur Seblatombe, fondateur de FrenchBreaches, alerte publiquement. La faille exploitée serait de type IDOR : modifier un identifiant numérique dans une requête API suffisait à accéder aux données d'un autre utilisateur, sans aucun contrôle d'autorisation côté serveur.
Confirmation officielle et premier bilan
Le ministère de l'Intérieur confirme l'intrusion et précise le chiffre officiel : 11,7 millions de comptes potentiellement concernés. Laurent Nuñez saisit l'Inspection générale de l'administration pour "établir la chaîne de responsabilité". L'enquête est confiée à l'Office anti-cybercriminalité (OFAC). Des notifications personnalisées commencent à être envoyées aux usagers concernés.
Mise en examen d'un mineur de 15 ans
L'OFAC interpelle un adolescent de 15 ans, identifié comme étant "breach3d". Il est mis en examen et placé sous contrôle judiciaire. Les chefs retenus : atteintes à un système de traitement automatisé de données à caractère personnel mis en oeuvre par l'État, et détention d'équipement permettant de commettre ces atteintes. Ces délits sont passibles de sept ans d'emprisonnement et 300 000 euros d'amende, soit des peines applicables aux majeurs sous réserve de l'appréciation du juge des enfants.
Lecornu à l'ANTS : 200 millions d'euros d'urgence
Le Premier ministre Sébastien Lecornu se rend sur place, qualifie la situation d'"assez grave" et annonce le déblocage immédiat de 200 millions d'euros. Il reconnaît publiquement "environ trois vols de données par jour" sur les systèmes de l'État depuis janvier 2026, et détaille un plan structurel incluant la fusion des deux directions interministérielles du numérique en une autorité unique.
Ce qui a fuité exactement
Le périmètre de la violation est désormais établi par le ministère de l'Intérieur. Il est important de le lire précisément, sans l'élargir ni le minimiser.
Attention : le ministère précise que les données divulguées "ne permettent pas, à elles seules, d'accéder directement aux comptes des usagers." C'est vrai. Mais combinées aux données d'autres fuites récentes (France Travail en 2024, FICOBA en janvier 2026), elles permettent de constituer des profils très complets pour des fraudes financières ou des usurpations d'identité administratives.
Un lycéen de 15 ans : ce que ça révèle vraiment
L'identité présumée du pirate est l'information qui a le plus frappé l'opinion publique. Elle ne doit pas servir à minimiser la gravité de l'incident, mais à poser clairement la question qu'elle soulève : si les systèmes régaliens gérant les données d'identité de 11,7 millions de Français peuvent être vidés par un adolescent en quelques jours, quel est le niveau réel de protection de nos infrastructures numériques ?
La faille IDOR (Insecure Direct Object Reference) au coeur de l'incident est enseignée dans tous les cours de sécurité applicative de première année. Elle figure dans le Top 10 de l'OWASP, la référence internationale des vulnérabilités web, depuis des années. Elle consiste simplement à modifier un identifiant numérique séquentiel dans une requête pour accéder aux données d'un autre utilisateur. Aucune compétence avancée, aucun outil sophistiqué. La présence de cette faille sur un portail traitant les titres d'identité de dizaines de millions de Français, après des années de fonctionnement, révèle une absence de tests de sécurité basiques plutôt qu'une attaque sophistiquée.
Rappel important : en septembre 2025, une annonce similaire de vente de données prétendument issues de l'ANTS avait circulé sur le dark web. L'ANSSI avait alors conclu à un recyclage de fuites plus anciennes et aucune intrusion n'avait été confirmée. Cette fois, la différence est nette : les autorités ont elles-mêmes confirmé l'authenticité des données dérobées, notifié la CNIL et saisi le parquet.
200 millions d'euros : le plan Lecornu décrypté
La visite du Premier ministre à l'ANTS le 30 avril a produit des annonces concrètes. Voici ce qui a été dit, et ce que ça signifie en pratique.
Court terme : colmater les brèches
- 200 millions d'euros débloqués immédiatement pour renforcer les infrastructures
- Tests de vulnérabilité et exercices d'autoattaque sur les systèmes ministériels
- Scénarios de crise documentés en cas de coupure numérique généralisée
- Recours accru à la cryptographie post-quantique pour les données les plus sensibles
Long terme : refondre la gouvernance
- Fusion de la DINUM et de la DITP en une autorité numérique unique auprès du Premier ministre
- Affectation des amendes CNIL à un fonds de modernisation numérique dédié
- 5 % des budgets numériques ministériels consacrés à la cybersécurité dès 2027
- Feuille de route de sécurité numérique de l'État pour la période 2026-2027
La mesure la plus significative à long terme est probablement la plus discrète : l'affectation des amendes CNIL à un fonds de modernisation numérique. Cela créerait une boucle de rétroaction directe entre les sanctions pour manquements à la protection des données et le financement de la sécurité des systèmes publics. Une logique que la CNIL elle-même appelle de ses voeux depuis plusieurs années dans ses rapports annuels.
Un incident parmi une série qui devrait alarmer
L'ANTS ne surgit pas dans un vide. Elle s'inscrit dans ce que Lecornu lui-même a reconnu comme une réalité quotidienne : trois vols de données par jour sur les systèmes de l'État depuis le début de l'année 2026. Voici les incidents les plus significatifs des derniers mois.
FICOBA — Janvier 2026
1,2 million d'IBAN avec coordonnées complètes des titulaires. Vecteur : usurpation des identifiants d'un fonctionnaire de Bercy, sans authentification multifacteur. Un seul compte compromis a suffi.
ÉduConnect — Avril 2026
Données d'élèves exposées le même mois que l'ANTS. Les plateformes d'identité numérique de l'État sont devenues des cibles systématiques, précisément parce qu'elles centralisent des données croisables.
France Travail — Mars 2024
43 millions de personnes, soit la quasi-totalité de la population active française. La fuite la plus massive de l'histoire administrative française, via un sous-traitant insuffisamment contrôlé.
Le recoupement de ces bases est le vrai risque systémique. Un fraudeur disposant à la fois des coordonnées ANTS, du numéro de Sécurité sociale (France Travail) et de l'IBAN (FICOBA) d'une même personne dispose de tout ce qu'il faut pour une fraude bancaire ou une usurpation d'identité administrative complète. Cybermalveillance.gouv.fr recense les types d'arnaques attendus dans les prochaines semaines et les bons réflexes à adopter.
Ce que ça change pour votre conformité RGPD
La fuite ANTS est un cas d'école qui illustre concrètement ce que le RGPD cherche à encadrer. Trois articles sont directement concernés, et leur application ne concerne pas uniquement l'État.
- Article 32 — Sécurité des traitements : l'absence de contrôle d'autorisation côté serveur (faille IDOR) est un manquement direct à l'obligation de mettre en oeuvre "des mesures techniques et organisationnelles appropriées". Cet article s'applique à votre site, votre API, votre espace client, dès lors que vous traitez des données personnelles.
- Article 33 — Notification à la CNIL : France Titres a respecté le délai de 72 heures. C'est le minimum légal. Avez-vous une procédure documentée qui vous permettrait d'en faire autant si c'était votre base qui avait fuité ? Qui appelle qui ? Quel formulaire ? Quelles informations à fournir ?
- Article 34 — Information des personnes : l'ANTS a envoyé des notifications personnalisées à l'ensemble des 11,7 millions de comptes concernés. L'email initial du 15 avril, concluant par "vous n'avez aucune démarche à accomplir", a été critiqué pour son manque de clarté sur les risques concrets. La CNIL attend une communication claire sur les risques et les mesures que les personnes peuvent prendre.
Votre site résisterait-il à un audit comme celui que Lecornu vient d'imposer aux ministères ?
RGPDKit analyse votre conformité RGPD et génère les documents adaptés à votre activité : politique de confidentialité, mentions légales, clauses de sous-traitance. En quelques minutes.
Ce que vous pouvez faire maintenant
Vous n'êtes pas responsable de la fuite ANTS. Mais vous êtes responsable de la protection de vos propres clients, et de la solidité de votre système face aux arnaques qui vont suivre dans les prochaines semaines.
Pour protéger vos clients
Vos clients sont probablement dans les 11,7 millions. Voici les actions immédiates à mener.
- Envoyez un email d'information en rappelant que vous ne demanderez jamais de données personnelles par lien non sollicité
- Orientez-les vers signal-spam.fr pour signaler les tentatives d'hameçonnage
- Vérifiez que votre domaine est protégé par SPF, DKIM et DMARC pour éviter l'usurpation de votre identité d'expéditeur
- Indiquez-leur de signaler toute arnaque aboutie sur cybermalveillance.gouv.fr
Pour renforcer votre conformité
La fuite ANTS est le moment idéal pour auditer votre propre posture RGPD, pendant que le sujet est dans l'actualité.
- Vérifiez l'absence de failles IDOR sur vos formulaires et API : identifiants séquentiels, contrôles d'autorisation côté serveur
- Actualisez votre politique de confidentialité si elle date de plus d'un an
- Documentez votre procédure de notification CNIL : 72 heures, c'est court sans préparation
- Formalisez vos contrats de sous-traitance (article 28) avec vos prestataires hébergeur et SaaS
Questions fréquentes
Qui a piraté l'ANTS en avril 2026 ?
Le suspect identifié est un mineur de 15 ans, connu sous le pseudonyme "breach3d". Il a été mis en examen et placé sous contrôle judiciaire le 29 avril 2026, moins de deux semaines après la détection de l'intrusion. Il est poursuivi pour atteintes à un système de traitement automatisé de données à caractère personnel mis en oeuvre par l'État, et détention d'équipement permettant de commettre ces atteintes. Ces délits sont passibles de sept ans d'emprisonnement et 300 000 euros d'amende.
Quelles données ont été volées lors du piratage de l'ANTS ?
Les données compromises incluent nom, prénom, date de naissance, adresse électronique, identifiant de connexion et identifiant unique de compte. Dans certains dossiers, s'ajoutent l'adresse postale, le lieu de naissance et le numéro de téléphone. Pour les comptes professionnels (garages, auto-écoles, mairies), la raison sociale, le SIREN et les numéros d'habilitation sont également concernés. En revanche, les pièces jointes et les mots de passe n'ont pas été compromis.
Suis-je concerné par la fuite de données de l'ANTS ?
Si vous avez créé un compte sur ants.gouv.fr pour effectuer une démarche en ligne (passeport, carte d'identité, permis de conduire, carte grise), votre compte fait partie des 11,7 millions potentiellement concernés. France Titres a annoncé l'envoi de notifications personnalisées par email aux comptes touchés. Vous pouvez également vérifier votre exposition via le service HaveIBeenPwned (haveibeenpwned.com).
Que fait le gouvernement suite au piratage de l'ANTS ?
Le Premier ministre Sébastien Lecornu s'est rendu à l'ANTS le 30 avril 2026 et a annoncé le déblocage immédiat de 200 millions d'euros. Le plan comprend des tests de vulnérabilité sur les systèmes ministériels, le recours à la cryptographie post-quantique et la fusion de la Direction interministérielle du numérique et de la Direction interministérielle de la transformation publique en une autorité numérique unique. L'objectif affiché est de porter à 5 % la part des budgets numériques ministériels consacrée à la cybersécurité dès 2027.
Mon entreprise doit-elle faire quelque chose après le piratage de l'ANTS ?
L'obligation de notification RGPD (articles 33 et 34) ne s'applique qu'à vos propres violations de données. En revanche, il est fortement conseillé d'informer vos clients de l'incident ANTS pour les protéger d'éventuels hameçonnages usurpant votre marque. Vérifiez aussi que votre domaine d'envoi est protégé par SPF, DKIM et DMARC, et profitez-en pour auditer votre propre politique de confidentialité et votre registre des traitements.
Qu'est-ce qu'une faille IDOR et comment l'éviter sur mon propre site ?
Une faille IDOR survient quand une application accède à des ressources via des identifiants prévisibles (numéros séquentiels), sans vérifier que l'utilisateur est autorisé. Dans le cas de l'ANTS, modifier un chiffre dans une URL suffisait à lire les données d'un autre compte. Pour l'éviter : utilisez des identifiants non prévisibles de type UUID, contrôlez les droits d'accès côté serveur avant tout retour de données, et soumettez vos API à des tests de pénétration réguliers. Cette vulnérabilité figure dans le Top 10 de l'OWASP depuis des années.
Peut-on porter plainte suite à la fuite de données de l'ANTS ?
Oui. En tant que victime, vous pouvez exercer vos droits d'accès, de rectification et d'opposition via le portail de la CNIL. Vous pouvez également déposer plainte pénale sur le fondement de l'article 323-1 du Code pénal (accès frauduleux à un système de traitement automatisé de données), ou vous constituer partie civile dans le cadre de l'information judiciaire déjà ouverte par le parquet de Paris. Une mise en examen a déjà eu lieu, ce qui facilite les recours des victimes.
Jérémy Pierre
Expert en conformité RGPD, Jérémy accompagne les sites et agences dans la mise en conformité de leurs traitements de données depuis le lancement de RGPDKit.