ANTS piratage : 12 millions de données exposées par erreur
Publié le 19/06/2026
40,8 millions de comptes français compromis depuis le début de l'année 2026, soit déjà plus qu'en 2025 entière : la France bat des records qu'elle préférerait éviter. Parmi les incidents qui alimentent cette statistique alarmante, le piratage de l'Agence nationale des titres sécurisés figure en bonne place. Non pas à cause de la sophistication de l'attaque, mais précisément parce qu'elle n'en avait aucune.
Un piratage de l'ANTS d'une simplicité déconcertante
Avril 2026. Les données personnelles de près de 12 millions de personnes (noms, dates de naissance, identifiants de compte) se retrouvent exposées après une intrusion sur le portail de l'ANTS. Derrière cette fuite massive ne se cache ni un groupe sponsorisé par un État étranger, ni une organisation criminelle rodée aux cyberattaques. L'auteur est un jeune Français de 19 ans, sans formation technique particulière.
La méthode employée ? Changer un chiffre dans l'URL du portail. C'est littéralement tout. En se connectant à son propre espace personnel sur le site, puis en modifiant manuellement le numéro présent dans l'adresse web, il a pu accéder aux informations d'autres comptes. Une manipulation qui prend moins de trente secondes et ne requiert aucun outil spécialisé.
Clément Domingo, hacker éthique connu sous le pseudonyme SaxX et chercheur en cybersécurité, a reproduit l'attaque en direct lors d'un événement organisé par Surfshark, auquel BFM Tech a assisté. Son commentaire résume bien la situation : "Ça peut paraître ridicule, mais c'est exactement comme ça qu'un jeune homme de 19 ans a piraté l'ANTS. Et le plus incroyable, c'est que ce type n'a aucune compétence particulière."
Une fois l'accès ouvert, le jeune homme a utilisé le chatbot Claude d'Anthropic pour générer un script automatisé capable de télécharger les données en masse. L'intelligence artificielle générative a donc servi de béquille technique pour contourner le seul obstacle qui aurait pu freiner quelqu'un sans bagage informatique.
La faille ANTS : ce qu'un audit aurait dû détecter en priorité
Cette vulnérabilité porte un nom dans le domaine de la cybersécurité : IDOR (Insecure Direct Object Reference, ou référence directe à un objet non sécurisée). Elle figure systématiquement dans les listes des failles les plus communes et les plus dangereuses. Le principe est simple : une ressource en ligne est identifiée par un numéro dans l'URL, et le serveur ne vérifie pas si l'utilisateur connecté a bien le droit d'y accéder.
Voici ce que représente concrètement ce type de faille, comparé à une configuration correcte :
| Configuration | Comportement du serveur | Risque |
|---|---|---|
| Sans contrôle d'accès (cas ANTS) | Affiche les données demandées quelle que soit l'identité | Accès libre à tous les comptes |
| Avec contrôle d'accès correctement configuré | Vérifie que l'utilisateur est bien propriétaire de la ressource | Aucun accès non autorisé possible |
Clément Domingo l'a souligné sans détour : "C'est l'un des points les plus fondamentaux à tester lors des tests d'intrusion et des audits." La faille était tellement évidente que l'ANTS n'a eu besoin que de quelques jours pour la corriger après sa découverte. Ce délai court est rassurant sur la capacité à réagir, moins sur la capacité à prévenir.
Le problème dépasse ce seul cas. Comme le déplore Clément Domingo, la plupart des failles qu'il découvre sur des sites web proviennent d'une mauvaise hygiène en cybersécurité, pas d'attaques élaborées. Les erreurs de configuration représentent une part disproportionnée des incidents réels, alors même qu'elles sont parmi les plus simples à éviter lors des phases de développement et d'audit.
Les vecteurs d'erreur les plus fréquents dans ce type d'incident incluent notamment :
- L'absence de vérification côté serveur des droits d'accès aux ressources
- Des tests d'intrusion insuffisants ou trop espacés dans le temps
- Une numérisation rapide des services sans montée en puissance parallèle de la sécurité
- Le recours à des chatbots IA par des attaquants non techniques pour combler leurs lacunes
La France, cible exposée d'une nouvelle génération de cyberattaquants
Luis Costa, responsable de la recherche chez Surfshark, pointe une tension structurelle : la France a fortement numérisé ses services publics et privés, plus vite que beaucoup de ses voisins européens. Cette avance crée une surface d'attaque étendue. "Les avantages liés à la commodité de tout faire en ligne et de manière centralisée dépassent les investissements et les infrastructures de sécurité", regrette-t-il.
Résultat : le pays devient une cible de choix. Les 40,8 millions de comptes français compromis depuis janvier 2026 ne sont pas tous issus d'attaques complexes. Une bonne partie provient d'incidents comparables à celui de l'ANTS, où une erreur humaine basique a suffi.
Ce que cet incident révèle aussi, c'est l'émergence d'un nouveau profil d'attaquant. Clément Domingo les qualifie de "script kiddies augmentés" : des individus sans compétences techniques réelles, qui utilisent des outils d'IA générative pour automatiser des actions qu'ils seraient incapables de réaliser seuls. L'IA ne crée pas la faille, mais elle rend son exploitation abordable à n'importe qui.
Face à ce constat, l'enjeu pour les organisations publiques et privées ne relève pas de la course aux armements technologiques. Il s'agit d'abord de soigner les bases : audits réguliers, contrôles d'accès systématiques, tests d'intrusion incluant les vulnérabilités IDOR. L'attaque qui a touché l'ANTS aurait dû être détectée bien avant d'atteindre des millions d'utilisateurs. Ce n'est pas une question de budget remarquable, mais de rigueur dans les pratiques quotidiennes de développement et de maintenance des systèmes.