Piratage de l'ANTS : 19 millions de Français exposés, ce que le RGPD impose (et ce que l'État a minimisé)

Votre nom, votre prénom, votre date de naissance, votre adresse email et votre identifiant de connexion sont peut-être en vente en ce moment sur un forum cybercriminel. Pas chez un opérateur télécom, pas chez une enseigne de grande distribution. Chez l'agence d'État qui gère vos passeports, votre permis de conduire et votre carte grise.

Le 15 avril 2026, le portail de l'ANTS (Agence Nationale des Titres Sécurisés, rebaptisée France Titres) a été la cible d'une cyberattaque. Selon les experts en cybersécurité, entre 18 et 19 millions d'enregistrements auraient été exfiltrés via une faille que le hacker lui-même a qualifiée, sans détour, de « vraiment stupide ».

Ce serait, selon Seblatombe, fondateur du blog spécialisé FrenchBreaches, l'une des plus grandes fuites de données administratives jamais enregistrées en France. Et la réponse initiale de l'ANTS à ses utilisateurs ? Un email qui se concluait par : « Vous n'avez ainsi aucune démarche à accomplir. » Rassurant. Vraiment.

L'ANTS : une cible de choix pour les cybercriminels

Pour bien mesurer l'ampleur du problème, rappelons ce qu'est l'ANTS. C'est le guichet unique numérique de l'État pour tout ce qui touche aux titres sécurisés : vous y faites votre demande de passeport, de carte nationale d'identité, de permis de conduire, de carte grise. Des millions de Français y ont créé un compte et y ont déposé des informations personnelles.

Autrement dit : c'est l'une des bases de données les plus riches et les plus précieuses de France. Un profil ANTS contient exactement les informations dont un fraudeur a besoin pour usurper votre identité ou construire un phishing parfaitement crédible. C'est aussi, ironie du sort, la plateforme que l'État envisage de mettre à contribution dans le futur système de vérification d'âge pour les réseaux sociaux. Mais on n'en est pas là.

La faille : d'une banalité confondante

Comment un hacker a-t-il pu accéder librement aux fiches de dizaines de millions de citoyens ? Pas via une attaque sophistiquée. Pas grâce à un exploit 0-day que les meilleurs ingénieurs de la planète auraient mis des mois à développer. Non.

La vulnérabilité exploitée est une IDOR Insecure Direct Object Reference. En langage clair : le système utilisait des identifiants numériques simples pour accéder aux fiches utilisateurs, et ne vérifiait à aucun moment si la personne qui faisait la demande avait le droit de consulter la fiche en question. Il suffisait donc de modifier un chiffre dans une requête API pour basculer du profil de Pierre à celui de Paul, puis à celui de Marie, puis des 19 millions de suivants.

Le hacker, qui se fait appeler « breach3d » sur les forums cybercriminels, n'a pas manqué de le faire remarquer en toute franchise à FrenchBreaches : « C'était une faille vraiment stupide. » On lui accorde au moins le mérite de la concision.

Ce qui a été exposé et ce que le ministère reconnaît

Le ministère de l'Intérieur a confirmé l'incident dans un communiqué officiel. Les données reconnues comme exposées sont les suivantes :

• Nom et prénoms
• Date de naissance
• Adresse électronique
• Identifiant de connexion
• Identifiant unique du compte ANTS

Le ministère tient à préciser que les pièces jointes déposées lors des démarches copies de pièces d'identité, justificatifs de domicile n'ont pas été compromises. De même, les données exposées ne permettraient pas, à elles seules, d'accéder directement aux comptes ou de reconstituer un dossier complet pour réémettre un titre officiel.

Voilà pour la version officielle. De l'autre côté, la base proposée à la vente par « breach3d » sur les forums cybercriminels contiendrait des informations supplémentaires adresses postales, numéros de téléphone selon les analyses de FrenchBreaches. L'authentification complète du contenu de cette base est encore en cours au moment de la publication de cet article.

La communication de crise : un modèle du genre

Revenons sur le message envoyé par l'ANTS à ses utilisateurs professionnels le 15 avril, le jour même de la découverte de l'incident. L'agence y reconnaissait « un accès non autorisé à certaines données » avant de rassurer son lectorat en concluant avec aplomb : « Vous n'avez ainsi aucune démarche à accomplir. »

C'est techniquement exact, les victimes d'une fuite de données n'ont effectivement, dans l'immédiat, aucune démarche administrative à accomplir. Mais la formulation a de quoi laisser songeur quand on sait ce qui se tramait en parallèle sur les forums cybercriminels. Pendant que l'ANTS rassurait ses utilisateurs, « breach3d » mettait en vente 19 millions de profils.

À la décharge de l'ANTS : au moment de cet email, l'agence n'avait peut-être pas encore pris la pleine mesure de l'étendue des dégâts. C'est précisément pourquoi le RGPD impose une communication progressive et honnête, pas une minimisation préventive.

Ce que le RGPD impose et ce que l'ANTS a fait

Sur le plan formel, l'ANTS semble avoir respecté ses obligations légales. Le ministère de l'Intérieur a confirmé :

• Notification à la CNIL conformément à l'article 33 du RGPD, qui impose une notification dans les 72 heures suivant la prise de connaissance de l'incident
• Signalement à la procureure de la République de Paris en application de l'article 40 du Code de procédure pénale, en vue de l'ouverture d'une enquête
• Information individuelle des usagers concernés, par email ou message personnalisé sur leur compte
• Mesures de renforcement de la sécurité mises en place pour assurer la continuité du service

C'est le minimum légal. Ça ne résout rien pour les 19 millions de personnes dont les données circulent désormais sur des forums cybercriminels, mais au moins le protocole a été suivi.

Ce qui reste entier et que le RGPD n'a pas de réponse parfaite pour résoudre, c'est la question de la responsabilité ex ante. Le RGPD ne sanctionne pas que les fuites : il sanctionne l'absence de mesures de sécurité adaptées (article 32). Et une faille IDOR sur l'API d'un portail gérant des millions de dossiers administratifs, ça ressemble beaucoup à une absence de mesures adaptées.

Les risques concrets pour vous

Même sans les pièces jointes, les données exposées suffisent largement à alimenter des campagnes frauduleuses très efficaces. Voici ce que les cybercriminels peuvent en faire :

Le phishing ultra-ciblé

Un email qui commence par « Bonjour Jean-Pierre Dupont, né le 14 mars 1978, votre passeport arrive à expiration » est infiniment plus crédible qu'un message générique. Avec les données de l'ANTS, des millions de messages personnalisés peuvent être construits, reprenant des éléments réels pour pousser les victimes à cliquer sur des liens malveillants ou à télécharger des pièces jointes infectées.

L'usurpation d'identité

La combinaison nom + prénom + date de naissance + email est suffisante pour tenter d'accéder à d'autres services en ligne, de souscrire des crédits ou de réaliser des démarches en votre nom. Et en cas d'usurpation avérée, c'est à la victime de prouver qu'elle n'est pas l'auteur des actes, un combat judiciaire qui peut durer des années et ruiner une réputation.

Les fraudes administratives

Connaitre l'identifiant unique d'un compte ANTS peut faciliter certaines tentatives d'accès ou de manipulation des démarches en cours. Même sans accès direct au compte, ces informations ont de la valeur sur les marchés cybercriminels.

Ce que vous devez faire maintenant

Contrairement à ce que l'email du 15 avril voulait vous faire croire, quelques précautions s'imposent :

• Méfiez-vous de tout contact prétendant venir de l'ANTS, de la préfecture, de FranceConnect ou de tout service public dans les semaines à venir, même si le message connaît votre nom et votre date de naissance
• Ne cliquez jamais sur un lien dans un email ou SMS non sollicité, même très convaincant. Accédez toujours directement aux sites officiels en tapant l'adresse dans votre navigateur
• Changez votre mot de passe ANTS et activez la double authentification sur FranceConnect
• Surveillez vos comptes bancaires et relevés de crédit pour détecter toute activité anormale
• En cas d'usurpation d'identité, signalez-le sur la plateforme officielle Perceval et déposez plainte

La leçon pour les responsables de sites web

Cette affaire est un cas d'école, dans le mauvais sens du terme. Elle illustre deux choses que le RGPD tente précisément de prévenir.

D'abord, la sécurité ne s'improvise pas. Une faille IDOR, c'est une vérification d'autorisation manquante dans le code. C'est le genre de problème qu'un audit de sécurité basique aurait identifié en quelques heures. Le RGPD (article 32) impose aux responsables de traitement de mettre en œuvre des mesures techniques adaptées au risque et gérer les passeports de 19 millions de Français constitue, par définition, un risque élevé.

Ensuite, la communication en cas d'incident doit être honnête, pas rassurante. Minimiser une fuite de données auprès des victimes, même en bonne foi, expose à des sanctions supplémentaires de la CNIL si l'étendue réelle de l'incident s'avère bien plus large que ce qui avait été communiqué initialement.

Pour votre propre site, la règle est simple : si vous collectez des données personnelles, vous êtes responsable de leur sécurité et de la communication en cas de problème. Votre politique de confidentialité doit mentionner les mesures de sécurité mises en place, les procédures de notification en cas d'incident et les droits des personnes concernées.

💡 Votre politique de confidentialité est à jour ? RGPDKit la génère automatiquement en 3 minutes, en tenant compte de votre activité, de vos outils et de vos obligations de sécurité RGPD.

En résumé

Le piratage de l'ANTS du 15 avril 2026 est une nouvelle illustration d'un problème systémique : les services publics français accumulent des données sensibles sur des millions de citoyens sans toujours se donner les moyens de les protéger correctement. Une faille IDOR sur l'API d'un portail régalien, c'est une faute professionnelle de base, pas une fatalité.

Pour les 19 millions de personnes potentiellement concernées, le risque immédiat est le phishing ciblé. Vigilance accrue recommandée dans les semaines à venir.

Pour les responsables de sites web et d'applications qui gèrent des données personnelles, le message est clair : la sécurité n'est pas une option, c'est une obligation légale et une fuite, même chez l'État, ne vous exonère pas de vos propres responsabilités RGPD. Assurez-vous que votre documentation est conforme.

Questions fréquentes sur le piratage de l'ANTS et vos droits RGPD

Qu'est-ce que l'ANTS et pourquoi cette fuite est-elle grave ?

L'ANTS (Agence Nationale des Titres Sécurisés, aussi appelée France Titres) est le portail officiel de l'État qui gère toutes les demandes de titres sécurisés : carte nationale d'identité, passeport, permis de conduire, carte grise. Le 15 avril 2026, une cyberattaque a permis un accès non autorisé aux données de 18 à 19 millions d'utilisateurs. La gravité tient à la nature régalienne de la plateforme : c'est l'État lui-même, garant légal de la protection des données de ses citoyens, qui s'est révélé vulnérable.

Quelles données ont été exposées lors du piratage de l'ANTS ?

Le ministère de l'Intérieur a confirmé l'exposition des données suivantes : nom, prénoms, date de naissance, adresse électronique, identifiant de connexion et identifiant unique du compte ANTS. Les pièces jointes déposées (copies de pièces d'identité, justificatifs de domicile) n'auraient pas été compromises selon le communiqué officiel. La base proposée à la vente sur forum cybercriminel par « breach3d » contiendrait potentiellement des informations supplémentaires (adresse postale, téléphone), dont l'authentification est encore en cours.

Comment le piratage de l'ANTS a-t-il été possible techniquement ?

L'attaque a exploité une vulnérabilité IDOR (Insecure Direct Object Reference) sur l'API du portail moncompte.ants.gouv.fr. Le système ne vérifiait pas les droits d'accès : il suffisait de modifier un identifiant dans une requête pour consulter les données d'un autre citoyen. Ce type de faille figure dans le Top 10 de l'OWASP depuis plus de dix ans. Le hacker lui-même l'a résumé : « C'était une faille vraiment stupide. »

Quels sont les risques concrets pour les personnes concernées ?

Le risque principal est le phishing ultra-ciblé : des emails ou SMS personnalisés avec votre nom, prénom et date de naissance, se faisant passer pour l'ANTS ou des services publics. À plus long terme : tentatives d'usurpation d'identité, fraudes administratives et souscription de crédits en votre nom. En cas d'usurpation avérée, signalez-le sur la plateforme officielle Perceval et déposez plainte.

L'ANTS a-t-elle respecté ses obligations RGPD après la fuite ?

Formellement oui : l'ANTS a notifié l'incident à la CNIL conformément à l'article 33 du RGPD (délai de 72h), transmis un signalement au parquet de Paris, et informé individuellement les usagers. Ce qui interroge davantage, c'est le message initial du 15 avril qui minimisait l'incident en concluant « vous n'avez aucune démarche à accomplir » alors que la fuite potentielle portait sur des dizaines de millions d'enregistrements.

Que faire si je pense être concerné par la fuite de données de l'ANTS ?

Plusieurs précautions immédiates : méfiez-vous de tout email ou SMS prétendant venir de l'ANTS ou des services publics, même personnalisé. Ne cliquez jamais sur un lien dans un message non sollicité. Changez votre mot de passe ANTS et activez la double authentification sur FranceConnect. Surveillez toute activité inhabituelle sur vos comptes. En cas d'usurpation d'identité, signalez-le sur Perceval et déposez plainte.

En tant que responsable d'un site web, que dois-je faire après une fuite de données ?

Le RGPD impose deux obligations : 1) Notifier la CNIL dans les 72 heures (article 33). 2) Informer directement les personnes concernées si la violation présente un risque élevé pour leurs droits (article 34). Le non-respect expose à des amendes jusqu'à 10 millions d'euros ou 2% du CA mondial. Votre politique de confidentialité doit également décrire les mesures de sécurité mises en place c'est la première preuve de bonne foi vis-à-vis de la CNIL. RGPDKit génère automatiquement votre politique conforme en 3 minutes.