Le 15 avril 2026, quelque part dans les serveurs du portail ants.gouv.fr, un détail étrange. Une requête banale, du genre de celles qui passent par milliers chaque seconde sur n’importe quelle plateforme administrative. Sauf que celle-ci, et toutes celles qui suivent, comportent une petite manipulation. On change un chiffre. Un identifiant. Et là, miracle pour qui s’en réjouit, cauchemar pour le reste du monde : on récupère les informations d’un autre usager. On change encore le chiffre. Encore une fiche. Et encore une. Pendant cinq jours, jusqu’à ce que quelqu’un, quelque part, finisse par se rendre compte que quelque chose cloche.
Quand l’Agence nationale des titres sécurisés communique enfin, le 20 avril, le mal est fait. Près de 11,7 millions de comptes seraient concernés selon les chiffres officiels du ministère de l’Intérieur, certains experts évoquant même 18 ou 19 millions d’enregistrements en vente sur les forums cybercriminels. Nom, prénoms, date de naissance, adresse électronique, identifiant unique du compte ANTS, et pour beaucoup, l’adresse postale, le lieu de naissance et le numéro de téléphone en prime. La quasi-totalité de ce qui constitue, administrativement parlant, une identité française.
A retenir :
Tous les français, oui tous les français ont vu toutes leurs données numériques volées en moins de deux ans. Le responsable est l’Etat, qui préfère une « belle » documentation sur le RGPD qu’à protéger nos données dont il est le garant.
Petite consolation : les pièces jointes, les copies de cartes d’identité, les justificatifs de domicile, les RIB, les photos, tout cela n’est pas parti dans la nature. L’ANTS s’est empressée de le faire savoir, et c’est vrai que c’est mieux que rien. Mais soyons honnêtes : pour un escroc qui veut faire du phishing à grande échelle ou monter une usurpation d’identité, ce qui a fuité est largement suffisant.
Et le pire, peut-être, c’est la nature de la faille. Pas un zero-day exotique exploité par un service de renseignement étranger. Pas une attaque par rançongiciel sophistiquée orchestrée depuis l’Europe de l’Est. Non. Selon les éléments rapportés, ce serait une vulnérabilité de type IDOR — Insecure Direct Object Reference — soit, en français courant, « on pouvait accéder aux données de n’importe quel utilisateur en changeant un chiffre dans l’URL« . C’est l’équivalent informatique de découvrir qu’on peut entrer dans n’importe quel coffre de la banque en testant les numéros un par un, parce que personne n’a pensé à vérifier si le client devant le guichet est bien le propriétaire.
Cette faille est connue depuis vingt ans. Elle figure dans le top 10 de l’OWASP, le référentiel mondial des vulnérabilités web, depuis sa création. N’importe quel test de sécurité automatisé un peu sérieux la détecte en quelques heures. Et pourtant, elle s’est retrouvée en production, sur le portail qui gère les pièces d’identité de 67 millions de Français.
Une fuite qui ne sort pas de nulle part
Si l’affaire ANTS avait été un incident isolé, on pourrait s’en émouvoir et passer à autre chose. Mais ce qui rend ce dossier vertigineux, c’est qu’il s’inscrit dans une série noire qui ne semble plus s’arrêter. En quelques mois, la France a vécu ce qu’aucun observateur sérieux n’aurait imaginé il y a cinq ans. Une petite liste rapide, vous risquez de pleurer !
Janvier 2026 a marqué un tournant. Une seule attaque sur Service-public.fr, via un sous-traitant compromis entre le 4 et le 9 janvier, a exposé les identifiants et pièces justificatives de plusieurs millions d’usagers. Au cours du même mois, l’URSSAF voit 12 millions de salariés potentiellement compromis suite à un accès frauduleux. L’OFII, qui gère les dossiers d’étrangers en France, « perd » 2,1 millions de dossiers. Cegedim Santé, prestataire central de l’écosystème médical français, expose les données de près de 15 millions de Français, données médicales incluses. Et au passage, le 19 février, le FICOBA, le fichier national des comptes bancaires hébergé à Bercy, voit 1,2 million de comptes compromis suite à l’usurpation d’identifiants d’un fonctionnaire.
À cela s’ajoutent les attaques DDoS spectaculaires qui ont mis à genoux La Poste et la Banque Postale fin décembre 2025 et début janvier 2026, attribuées au collectif pro-russe NoName057, avec plusieurs milliards de tentatives de connexion par seconde. Le ministère de l’Intérieur lui-même a vu des boîtes mail de policiers compromises fin 2025, avec des mots de passe partagés en clair. Oui, en clair. En 2025.
Selon les estimations relayées par 01net et reprises par plusieurs médias spécialisés, plus de 90 millions de comptes français auraient été touchés par des violations de données rien qu’au début de l’année 2026, doublons inclus. Pour donner une échelle : la population française adulte tourne autour de 53 millions de personnes. Statistiquement, chaque adulte français est désormais présent dans plusieurs bases de données qui circulent sur les forums cybercriminels.
L’ANSSI, dans son panorama de la cybermenace 2025 publié en mars 2026, recense 460 événements caractérisés comme possibles fuites de données pour la seule année 2025, dont 42% confirmés. La CNIL, de son côté, a reçu 4 669 notifications de violations de données en 2023, 5 630 en 2024, et déjà 6 929 sur les neuf premiers mois de 2025. Le mois de mars 2025 a même atteint un pic record de 2 855 notifications en 30 jours. On peut tourner les chiffres dans tous les sens : on est face à une situation systémique, pas à une accumulation de malchances.
Pourquoi l’État français se fait-il étriller à ce point ?
C’est la question qui dérange, et c’est là qu’il faut être honnête, même quand ça pique. Plusieurs facteurs s’additionnent pour produire le naufrage qu’on observe, et aucun n’est anecdotique. La preuve :
La dette technique abyssale des systèmes publics. Beaucoup d’applications de l’administration française ont été développées il y a quinze ou vingt ans, sur des architectures et des frameworks aujourd’hui dépassés. Les remplacer coûte cher, prend du temps, mobilise des ressources humaines rares, et n’apporte aucun bénéfice politique visible : un ministre qui annonce « j’ai modernisé l’infrastructure de sécurité du portail X » ne fait pas la une du 20 heures. Du coup, on patche, on rafistole, on ajoute des couches, et un jour quelqu’un trouve la faille IDOR oubliée dans un coin.
La sous-traitance en cascade et l’absence de gouvernance. Une part croissante des incidents récents ne vient pas directement des systèmes de l’État, mais de prestataires. La fuite Service-public.fr de janvier 2026 ? Un sous-traitant. La compromission FFF de fin 2025 ? Un prestataire. Le ministère de l’Intérieur fin 2025 ? Un tiers. Le périmètre de défense d’une administration s’étend désormais à des dizaines, parfois des centaines de sous-traitants dont la sécurité est rarement à la hauteur de l’organisation principale. On audite ses propres serveurs en détail, et on signe des contrats à plusieurs millions d’euros avec des PME qui n’ont jamais entendu parler du SecNumCloud.
Le manque chronique de profils cyber dans le secteur public. Un ingénieur sécurité expérimenté gagne 70 à 120 000 euros par an dans le privé, parfois plus. La grille indiciaire de la fonction publique pour un cadre A peine à proposer la moitié. Résultat, les meilleurs partent, ou ne viennent jamais. Reste des équipes en sous-effectif chronique, qui font de leur mieux mais qui n’ont matériellement pas le temps de tout sécuriser, tout patcher, tout auditer. C’est un problème structurel qu’aucun rapport, qu’aucune circulaire, qu’aucune annonce gouvernementale n’a jusqu’ici sérieusement traité.
La culture du livrable sur la culture de la sécurité. Quand on commande une application à un prestataire avec une deadline serrée, ce qui compte c’est qu’elle marche le jour J. La sécurité, c’est invisible quand elle marche, et quand elle ne marche pas… eh bien, on s’en aperçoit en 2026 quand 12 millions de personnes voient leurs données partir sur le darkweb. Tester systématiquement les vulnérabilités OWASP, faire des revues de code rigoureuses, mettre en place du fuzzing, tout ça prend du temps et coûte de l’argent. Dans la chaîne décisionnelle, ces lignes budgétaires sont les premières à sauter.
La centralisation excessive des données. C’est un débat plus profond, presque philosophique. La numérisation des services publics, juste en soi et utile aux citoyens, a conduit à concentrer dans des bases uniques des volumes d’informations personnelles inédits. ANTS, France Travail, FICOBA, EduConnect, FranceConnect : ce sont autant de honeypots (pots de miel) géants pour qui sait s’en emparer. Chaque grande base devient une cible à plusieurs millions de fiches. La logique d’efficacité administrative a créé des points de faiblesse colossaux.
La centralisation comme problème : faut-il fragmenter les données ?
C’est une question que beaucoup se posent, à juste titre, en regardant la fuite ANTS. Si les données avaient été éclatées sur plusieurs bases, plusieurs serveurs, plusieurs sites géographiques, l’attaquant n’aurait peut-être récupéré qu’un fragment d’identité, beaucoup moins exploitable.
L’idée est séduisante, et elle a un fond de vérité. La concentration crée le risque systémique. Une base monolithique contenant nom + prénom + date de naissance + adresse + email, c’est un kit d’usurpation d’identité prêt à l’emploi. Une base ne contenant que des emails sans nom associé, c’est presque inutilisable. Mais en pratique, la fragmentation extrême, une base par attribut, sur des serveurs séparés, pose ses propres problèmes.
D’abord, elle n’aurait pas empêché l’incident ANTS. La faille était applicative, au niveau de l’API qui agrège les données pour afficher la fiche utilisateur. Que ces données viennent d’une seule base ou de six bases différentes, l’API les aurait reconstituées à chaque requête. Le pirate aurait toujours obtenu son kit complet, juste après avoir tapé sur six serveurs au lieu d’un.
Ensuite, elle créerait une complexité opérationnelle telle que le système deviendrait fragile pour d’autres raisons : transactions distribuées qui échouent partiellement, sauvegardes désynchronisées, latences en cascade, coûts d’infrastructure multipliés. Sans compter qu’il faut bien, à un moment, un orchestrateur capable de réassembler les fragments — et cet orchestrateur devient le nouveau maillon faible.
Ecouter les techniciens de la sécurité
La bonne réponse, celle que recommandent les experts en sécurité, n’est pas la dispersion physique mais la segmentation logique avec contrôles forts. Concrètement :
- Minimisation à la source : ne stocker que ce qui est strictement nécessaire, et ne renvoyer aux applications que les attributs requis pour la tâche en cours. Le portail ANTS a-t-il vraiment besoin d’afficher la date de naissance complète et le lieu de naissance à chaque connexion ? Probablement pas.
- Chiffrement par colonne avec clés séparées : chaque attribut sensible (date de naissance, adresse) est chiffré dans la base avec une clé spécifique, gérée dans un module matériel sécurisé (HSM). Une exfiltration brute de la base donne du charabia.
- Tokenisation des champs critiques : la donnée réelle est dans un coffre à part, soumis à journalisation et autorisation forte, et la base principale ne contient que des jetons inertes.
- Détection comportementale et rate limiting : aspirer 12 millions de fiches via une API, ça génère un volume de requêtes anormal. Un système de détection même basique aurait dû lever l’alerte bien avant que l’attaquant n’ait fini son moisson.
- Contrôles d’autorisation systématiques : à chaque requête, vérifier que l’utilisateur authentifié a bien le droit d’accéder à la ressource demandée. C’est exactement ce qui manquait dans la faille IDOR de l’ANTS.
Bref, ce n’est pas tellement la géographie des bases qui compte, c’est la rigueur de l’ingénierie applicative. Et c’est précisément là où le bât blesse.
Le RGPD, ce tigre de papier ?
Depuis 2018, l’Europe s’est dotée d’un règlement qui, sur le papier, est l’un des plus stricts au monde en matière de protection des données. Le RGPD impose des principes clairs (minimisation, finalité, durée de conservation limitée), des obligations procédurales (tenue de registre, analyse d’impact, notification dans les 72 heures), et des sanctions potentiellement énormes (jusqu’à 4% du chiffre d’affaires mondial).
Un contenu de qualité, sans publicité.
Vous aimez notre travail ? Soutenez notre indépendance en devenant membre sur Patreon.
Soutenir MyChromebook.frSept ans plus tard, on peut faire un bilan honnête : le RGPD a transformé la façon dont les organisations gèrent formellement les données personnelles. Les DPO existent, les registres sont tenus, les notifications partent à la CNIL, les politiques de confidentialité s’allongent. Mais sur le terrain de la sécurité réelle, l’effet est beaucoup plus discutable.
La CNIL a sanctionné France Travail à hauteur de 5 millions d’euros le 29 janvier 2026 pour défaut de sécurisation des données suite à la cyberattaque de 2024. C’est une décision importante, qui marque une évolution dans la doctrine de l’autorité : elle ne se contente plus de regarder si les notifications ont été faites dans les temps, elle examine désormais la qualité des mesures techniques en amont. Mais 5 millions d’euros pour un organisme public qui gère les données de 43 millions de personnes, c’est, disons, plus symbolique que structurellement transformateur.
Le problème de fond, c’est que la conformité RGPD est devenue une industrie de la documentation. On produit des registres, des chartes, des analyses d’impact, des contrats de sous-traitance. Tout cela est utile, mais tout cela ne ferme pas une faille IDOR. Comme le notait justement un cabinet juridique au lendemain de l’affaire ANTS : « une procédure de notification impeccable ne remplace jamais un plan de réduction de la surface d’attaque« . L’article 33 du RGPD, qui impose la notification, est en quelque sorte un constat d’échec — utile pour la transparence, mais qui intervient quand le mal est déjà fait.
Il y a aussi un effet pervers à pointer. Le RGPD étant exigeant et perçu comme complexe, beaucoup d’organisations consacrent l’essentiel de leur budget conformité à la documentation et au juridique, au détriment de l’investissement technique. On préfère payer un cabinet pour rédiger des chartes que recruter un ingénieur sécurité supplémentaire. Sur le papier, on est conforme. Dans la réalité, on est exposé.
Le citoyen face au mur
Et pendant ce temps, qu’est-ce qu’on fait, nous, simples usagers de ces services ? Pas grand-chose, en vérité. On peut suivre tous les conseils qu’on voudra : activer la double authentification (quand elle existe, ce qui n’est même pas le cas sur tous les portails publics français), utiliser un gestionnaire de mots de passe, surveiller ses comptes bancaires, vérifier régulièrement sur Have I Been Pwned si son adresse mail traîne dans une fuite. Tout cela est utile et il faut le faire. Mais cela ne change rien au problème de fond.
Le problème de fond, c’est qu’on n’a pas le choix d’utiliser ces services. On ne peut pas demander un passeport en évitant l’ANTS. Pas chercher un emploi en évitant France Travail. On ne peut pas déclarer ses impôts en évitant impots.gouv.fr. On confie nos identités à l’État, parce que l’État nous y oblige, et l’État perd nos identités. Et la seule chose qu’on peut faire, après, c’est faire preuve de « vigilance » face aux tentatives de phishing.
Le glissement est subtil mais important : la responsabilité de la sécurité des données s’est insidieusement déplacée vers le bas. Les fuites sont annoncées, les usagers sont prévenus, on leur recommande de « rester vigilants ». On en oublierait presque que dans cette affaire, ce n’est pas le citoyen qui a fauté en faisant confiance à l’État, c’est l’État qui a fauté en ne protégeant pas ses citoyens.
Et puis il y a la question des recours. Théoriquement, les victimes peuvent porter plainte, demander réparation, intenter une action collective. En pratique, prouver le préjudice individuel d’une fuite de données personnelles est un parcours juridique compliqué. Les class actions à la française restent timides. La plupart des victimes encaissent et passent à autre chose, jusqu’à la prochaine fuite.
L’industrie du « kit d’identité »
Pour comprendre pourquoi tout cela est grave, il faut regarder ce que deviennent ces données une fois qu’elles ont fuité. La réponse, en 2026, est claire : elles sont agrégées.
Le modèle économique du cybercrime a muté. La marchandise la plus rentable du darkweb n’est plus la carte bancaire isolée, qui se périme vite et se bloque facilement. C’est l’identité numérique fonctionnelle complète, le « kit d’identité » : nom, prénom, date de naissance, adresse, téléphone, email, identifiants administratifs, parfois RIB, parfois données médicales. Avec ça, on peut ouvrir un compte bancaire, souscrire un crédit à la consommation, prendre un abonnement téléphonique, demander un titre administratif, faire du phishing personnalisé qui passe les filtres antispam.
Chaque fuite alimente cette industrie. Les attaquants ne se contentent plus d’une seule brèche : ils croisent les bases. La fuite ANTS donne le portrait civil. Fuite Cegedim ajoute le profil médical. La fuite OFII apporte le statut administratif. La fuite Free Mobile (2024) avait apporté les IBAN. Recoupez tout ça, et vous obtenez quelque chose qui ressemble étrangement à un dossier de renseignement complet sur des dizaines de millions de Français.
Cette dimension d’agrégation est sans doute le risque le plus sous-estimé du moment. Aucune fuite individuelle, prise isolément, ne semble catastrophique. C’est leur cumul, sur plusieurs années, qui crée la situation actuelle où il devient possible d’usurper crédiblement l’identité de n’importe quel adulte français pour quelques centaines d’euros sur les bons forums.
Que faire, vraiment ?
Si on devait esquisser un plan de sortie, à quoi ressemblerait-il ? Pas à des annonces ronflantes sur la « souveraineté numérique européenne« , pas à des plans à dix ans qui finiront en rapports oubliés. À des choses concrètes, parfois ennuyeuses, mais qui marchent.
Au niveau étatique, il faudrait commencer par un audit de sécurité approfondi et systématique de tous les grands portails publics, par des équipes externes indépendantes, avec publication des résultats. Pas un document de cinquante pages noyé dans le jargon, mais un état des lieux franc des vulnérabilités résiduelles. Il faudrait aussi revaloriser radicalement les rémunérations des profils cyber dans le secteur public, parce qu’aucune politique de sécurité ne tient sans les humains qui la portent. Il faudrait enfin mettre en place un véritable contrôle des sous-traitants, avec certification obligatoire pour tout prestataire manipulant des données personnelles à grande échelle.
Au niveau réglementaire, la CNIL aurait gagné à durcir réellement la doctrine de sanction. Sanctionner France Travail à 5 millions d’euros, c’est un geste, mais ce n’est pas dissuasif à l’échelle d’un budget public. Et il faudrait inscrire dans le droit l’obligation pour les opérateurs d’importance vitale et les services publics numériques de soumettre annuellement leurs systèmes à des tests d’intrusion par des tiers agréés, avec corrections obligatoires sous délai.
Au niveau de l’ingénierie, les bonnes pratiques existent et sont documentées depuis des années. Tests de sécurité automatisés (SAST, DAST) intégrés aux chaînes de déploiement. Bug bounties ouverts aux chercheurs indépendants. Revues de code systématiques sur les endpoints sensibles. Détection comportementale et rate limiting agressif sur toutes les API exposant des données personnelles. Chiffrement par colonne et tokenisation des champs critiques. Aucune de ces pratiques n’est révolutionnaire. Toutes coûtent moins cher que les conséquences d’une fuite à 12 millions de comptes.
Au niveau citoyen, enfin, et même si c’est insuffisant : utiliser des mots de passe uniques par site, activer la double authentification partout où c’est possible, surveiller son nom sur Have I Been Pwned, signaler systématiquement les tentatives de phishing à signal-spam.fr. Ces gestes ne nous protègent pas des fuites, mais ils limitent notre exposition aux conséquences les plus graves.
L’angle mort
Il y a une dernière chose qu’il faut dire, et qu’on lit rarement dans les analyses de ces affaires. Ces fuites massives, ces piratages d’État, ces millions de fiches en vente sur le darkweb, tout cela est en train de produire un effet plus profond qu’une simple série d’incidents techniques. Cela érode la confiance.
La confiance dans l’administration numérique. Une confiance dans la capacité de l’État à protéger ce qu’il nous demande de lui confier. La confiance, plus largement, dans le projet de numérisation des services publics qui structure les politiques françaises depuis vingt ans. Chaque nouvelle fuite est un argument pour ceux qui veulent pouvoir continuer à faire leurs démarches au guichet, sur papier, en personne. Ce n’est pas un combat d’arrière-garde nostalgique : c’est une question légitime de gouvernance des risques.
Si l’État veut continuer à numériser — et il le veut, et c’est globalement une bonne chose pour les usagers, alors il doit absolument démontrer qu’il peut le faire correctement. Aujourd’hui, la démonstration est dans l’autre sens. Et le temps presse, parce que la confiance, une fois entamée, met des années à se reconstruire. Si elle se reconstruit. L’affaire ANTS n’est pas une anomalie. C’est un symptôme. Et les symptômes, quand on les ignore, finissent par devenir la maladie elle-même.
Ressources utiles pour l’utilisateur
- CNIL — Commission Nationale de l’Informatique et des Libertés
- Have I Been Pwned — vérifier si son adresse email a fuité
- Signal Spam — signaler les tentatives de phishing
- Cybermalveillance.gouv.fr — assistance victimes de cyberattaques
FAQ (Foire Aux Questions)
Qu’est-ce que la faille IDOR qui a touché l’ANTS ?
L’IDOR (Insecure Direct Object Reference) est une faille de contrôle d’accès élémentaire : un utilisateur malveillant peut accéder aux données d’un tiers en modifiant simplement un paramètre (comme un ID) dans l’URL, faute de vérification d’autorisation par le serveur.
Quelles données ont été réellement volées lors de l’incident d’avril 2026 ?
L’identité civile (nom, prénoms, dates et lieux de naissance), les coordonnées (email, téléphone, adresse postale) et l’identifiant unique ANTS. Bien que les pièces justificatives (scans CNI) soient épargnées, ces données suffisent à l’usurpation d’identité.
Pourquoi le RGPD ne semble-t-il pas protéger les citoyens ?
Le RGPD a engendré une « industrie de la conformité » privilégiant la documentation juridique et administrative. Cette approche documentaire se fait souvent au détriment de l’investissement technique concret et de la sécurisation réelle des infrastructures.
