Cyberattaque ANTS : adolescent utilise l'IA pour 12M données
Publié le 18/06/2026
Un adolescent de 15 ans a réussi à extraire les données personnelles de 12 millions de Français depuis les serveurs de l'ANTS (Agence Nationale des Titres Sécurisés), aussi connue sous le nom de France Titres. L'affaire, révélée en juin 2026, frappe par sa simplicité déconcertante : aucune compétence de hacker chevronné n'était requise. Juste un accès basique, une manipulation d'URL et un outil d'intelligence artificielle.
Une faille absurde à l'origine du piratage de l'ANTS
Tout a commencé par une connexion parfaitement banale. Le jeune pirate s'est connecté à son espace personnel sur la plateforme de l'ANTS, comme n'importe quel usager effectuant ses démarches administratives en ligne, par exemple pour renouveler un permis de conduire à Chaumont ou déclarer un changement d'adresse. Une fois connecté, il a découvert quelque chose de sidérant : en modifiant simplement un chiffre dans l'URL de la page, il accédait aux informations d'un autre compte utilisateur.
Cette technique, connue sous le nom d'Insecure Direct Object Reference (IDOR), figure parmi les vulnérabilités les plus documentées en cybersécurité. Elle ne requiert aucun outil sophistiqué. Aucun script complexe. Juste une manipulation manuelle d'un paramètre dans la barre d'adresse du navigateur. Ce type d'erreur de configuration relève d'une négligence de conception, pas d'une attaque élaborée.
Clément Domingo, hacker éthique reconnu sous le pseudonyme SaxX, a commenté l'incident pour BFM Tech en pointant une « très mauvaise hygiène en matière de cybersécurité » de la part des plateformes publiques concernées. Ce professionnel, habitué à identifier ce genre de failles, souligne que l'agence a corrigé la vulnérabilité en quelques jours seulement après sa découverte. Ce délai de correction rapide prouve que le problème était simple à régler. Ce qui interroge, c'est qu'il ait pu exister aussi longtemps.
Voici les caractéristiques techniques de la faille exploitée :
- Type : IDOR (Insecure Direct Object Reference)
- Niveau de compétence requis : débutant
- Vecteur d'attaque : modification manuelle de paramètre URL
- Données exposées : informations personnelles de 12 millions d'utilisateurs
- Délai de correction après découverte : quelques jours
L'IA comme accélérateur : quand Claude d'Anthropic entre dans l'équation
La faille existait, certes. Mais extraire manuellement les données de 12 millions de comptes aurait pris des mois à un être humain seul. C'est ici qu'intervient l'intelligence artificielle. L'adolescent a utilisé Claude, le LLM développé par Anthropic, pour générer automatiquement un script capable d'automatiser le téléchargement massif des données disponibles via la faille IDOR.
Ce point mérite qu'on s'y arrête. Claude est un assistant IA conçu pour aider à la programmation, à la rédaction, à l'analyse. Sans garde-fous suffisants, il peut aussi générer du code fonctionnel pour des usages malveillants, même lorsque l'utilisateur n'a pas les compétences techniques pour l'écrire lui-même. L'IA a donc servi de multiplicateur de force à un acteur non qualifié, transformant une vulnérabilité exploitable manuellement en une cyberattaque à grande échelle.
| Élément | Sans IA | Avec IA (Claude) |
|---|---|---|
| Compétences requises | Développement avancé | Aucune compétence de code |
| Temps d'exécution estimé | Plusieurs mois | Quelques jours |
| Volume de données récupérables | Limité | 12 millions d'entrées |
| Profil de l'attaquant | Expert | Adolescent de 15 ans |
Cette réalité dépasse largement le cas ANTS. Les LLM accessibles gratuitement ou à faible coût permettent désormais à n'importe quel internaute de générer des scripts d'automatisation, des outils de phishing ou des programmes d'extraction de données. Le FBI a d'ailleurs démantelé en 2025 un réseau de phishing dopé à l'IA ayant soustrait 1,9 milliard de dollars. Le niveau d'entrée dans la cybercriminalité s'est drastiquement abaissé.
Ce que cet incident révèle sur la sécurité des services publics numériques
La cyberattaque contre l'ANTS pose une question qui dépasse le élémentaire fait divers. Combien de plateformes publiques françaises présentent aujourd'hui des vulnérabilités de même nature ? Les démarches administratives dématérialisées se multiplient depuis 2020, avec des délais de développement fréquemment contraints. La rapidité de mise en production prime parfois sur les audits de sécurité approfondis.
Pour les citoyens dont les données ont été exposées, le risque concret est multiple. Des informations personnelles volées peuvent alimenter des campagnes de phishing ciblées, des usurpations d'identité ou des escroqueries personnalisées. La donnée brute n'est pas le danger final. C'est son exploitation ultérieure qui l'est.
Face à ce constat, quelques réflexes protecteurs s'imposent pour tout usager de services numériques :
- Activer la double authentification sur tous les comptes administratifs.
- Surveiller régulièrement ses relevés bancaires et son identité numérique.
- Utiliser des adresses e-mail distinctes pour les démarches officielles.
- Signaler tout e-mail suspect prétendant provenir d'une administration à signal-spam.fr.
L'affaire ANTS doit aussi interpeller les décideurs publics. Un audit de sécurité régulier, mené par des hackers éthiques comme Clément Domingo, aurait probablement détecté cette faille IDOR bien avant qu'un adolescent ne l'exploite. Les programmes de bug bounty, où des chercheurs en sécurité signalent des vulnérabilités contre rémunération, représentent un investissement bien moins coûteux que la gestion d'une fuite de données massive. Intégrer ces pratiques dans le développement des services publics numériques devrait désormais relever de l'évidence, pas de l'exception.