ANTS piratage : 12 millions de données compromises
Publié le 17/06/2026
En avril 2026, l'Agence nationale des titres sécurisés (ANTS) a subi l'une des fuites de données les plus embarrassantes de ces dernières années. Pas à cause d'un groupe de cybercriminels organisés, pas grâce à une technologie d'attaque sophistiquée. Un seul individu, 19 ans, sans formation technique particulière, a réussi à compromettre les informations personnelles de près de 12 millions de Français : noms, dates de naissance, identifiants uniques de compte. La méthode utilisée ? Changer un chiffre dans une URL.
Un chiffre dans l'URL suffit à tout faire s'effondrer
L'incident repose sur une faille de type IDOR (Insecure Direct Object Reference), une vulnérabilité parmi les plus classiques du répertoire des tests d'intrusion. Concrètement, le portail de l'ANTS permettait à tout utilisateur connecté d'accéder à son espace personnel via une URL contenant un identifiant numérique. En modifiant manuellement ce chiffre dans la barre d'adresse du navigateur, le jeune homme accédait immédiatement aux données d'un autre compte. Aucun mot de passe à deviner, aucun outil d'exploitation complexe.
Clément Domingo, hacker éthique reconnu dans la communauté francophone sous le pseudonyme SaxX, a reproduit l'attaque en direct lors d'un événement organisé par Surfshark, auquel BFM Tech a assisté. Sa démonstration ne laisse aucun doute : "Ça peut paraître ridicule, mais c'est exactement comme ça qu'un jeune homme de 19 ans a piraté l'ANTS. Et le plus incroyable, c'est que ce type n'a aucune compétence particulière." Une phrase qui résume à elle seule la gravité du problème.
Ce qui aurait dû déclencher une simple page d'erreur a ouvert une brèche monumentale. Quelques jours seulement ont suffi à l'agence pour corriger la faille une fois l'incident détecté. Ce délai de correction, justement, illustre la banalité du défaut : il n'y avait rien de complexe à réparer. La vraie question reste de comprendre comment un contrôle aussi élémentaire a pu être omis lors des audits de sécurité préalables.
| Élément | Détail |
|---|---|
| Type de faille | Mauvaise configuration (IDOR) |
| Données exposées | Nom, date de naissance, identifiant de compte |
| Personnes affectées | Près de 12 millions |
| Profil de l'attaquant | Jeune Français, 19 ans, sans compétence technique avancée |
| Délai de correction | Quelques jours après découverte |
L'IA comme accélérateur pour des attaquants non techniques
Une fois la brèche identifiée, le jeune homme n'a pas eu besoin d'écrire lui-même le moindre code. Il a utilisé Claude, le chatbot d'Anthropic, pour générer un script capable d'automatiser l'extraction de données à grande échelle. L'outil d'intelligence artificielle a produit les instructions de programmation nécessaires en quelques minutes. Ce détail change profondément la nature de la menace.
Clément Domingo parle d'"un nouveau type de cybercriminels" : ni russes, ni chinois, ni membres d'un réseau organisé. Français, jeunes, et armés d'outils accessibles à tous. C'est le retour des script kiddies, cette catégorie d'attaquants sans compétences propres, mais cette fois dopés par des modèles de langage capables de coder à leur place. La combinaison d'une faille triviale et d'une IA générative produit un résultat dévastateur.
Pour mieux comprendre ce glissement, voici les étapes suivies lors de l'attaque :
- Connexion légale sur le portail de l'ANTS avec un compte personnel valide
- Modification manuelle du chiffre identifiant dans l'URL de l'espace personnel
- Accès aux données d'autres comptes sans aucun contrôle côté serveur
- Utilisation de Claude (Anthropic) pour générer un script d'extraction automatisée
- Téléchargement massif des données de 12 millions de profils
Cette séquence ne requiert aucune maîtrise du code, aucun outil de hacking spécialisé. La numérisation accélérée des services publics français crée un terrain fertile pour ce type d'incidents. Luis Costa, responsable de la recherche chez Surfshark, le formule clairement : la commodité du tout-en-ligne prend de l'avance sur les infrastructures de sécurité. La France, avec son haut niveau de dématérialisation des démarches administratives, devient une cible privilégiée. Pour rester informé des incidents liés aux documents officiels, consultez les actualités sur le renouvellement des passeports.
Une hygiène numérique défaillante aux conséquences massives
Le cas de l'ANTS n'est pas une anomalie isolée. 40,8 millions de comptes français ont déjà été compromis depuis le début de 2026, dépassant le total annuel de 2025 (40,7 millions) alors que l'année n'est pas terminée. Ce chiffre traduit une orientation structurelle, pas une succession de malchances.
Clément Domingo ne mâche pas ses mots face à ce constat : "La plupart du temps, quand je découvre des failles sur ces sites web, c'est parce que les gens ont une très mauvaise hygiène en matière de cybersécurité." L'absence de contrôles d'accès côté serveur, le non-respect des bases des tests d'intrusion, la mise en production sans audit rigoureux : ces lacunes ne relèvent pas de la sophistication des attaquants, mais de l'insuffisance des défenses.
Pour les 12 millions de personnes concernées par cette fuite, les risques concrets méritent d'être pris au sérieux. Des données comme la date de naissance combinée à un identifiant unique peuvent faciliter des tentatives de phishing ciblé ou d'usurpation d'identité. Vérifier l'activité de ses comptes administratifs, activer la double authentification partout où c'est disponible et surveiller ses relevés restent des réflexes essentiels.
La vraie leçon de cet incident dépasse l'ANTS. Chaque service numérique public ou privé qui gère des données personnelles doit intégrer des tests d'intrusion réguliers, incluant systématiquement les vulnérabilités IDOR. Ce type de contrôle figure parmi les plus élémentaires des référentiels de sécurité, et son absence dans un système gérant des millions de profils citoyens reste difficile à justifier.