Piratage de l'ANTS : le hacker de 15 ans, une faille vieille de 19 ans et 11,7 millions de comptes compromis
Le 15 avril 2026, l'Agence nationale des titres sécurisés (ANTS), plateforme incontournable pour les passeports, cartes d'identité, permis de conduire et cartes grises, a été frappée par une cyberattaque d'une ampleur inédite. Cinq jours plus tard, l'agence reconnaissait une intrusion « susceptible d'entraîner une divulgation de données ». Entre-temps, un cybercriminel proposait déjà à la vente sur un forum clandestin une base de données présentée comme issue des systèmes de l'ANTS. Le choc est national : ce sont les données personnelles de 11,7 millions de comptes — particuliers et professionnels — qui ont été compromises, incluant noms, adresses, dates de naissance et numéros de téléphone.
Un adolescent de 15 ans derrière le « casse du siècle »
L'enquête, menée par l'Office anti-cybercriminalité (Ofac), a rapidement progressé. Le 25 avril 2026, un adolescent de 15 ans, domicilié en Corse, a été interpellé et placé en garde à vue au commissariat de Bastia. Opérant sous le pseudonyme « breach3d », ce jeune passionné de cybersécurité a reconnu être l'auteur du piratage. Selon le parquet de Paris, sa mise en examen et son placement sous contrôle judiciaire ont été requis pour des faits constitutifs « d'atteinte à un système de traitement automatisé de données à caractère personnel mis en œuvre par l'État ». Le profil du pirate — un mineur isolé, sans affiliation à un groupe criminel organisé ni à une puissance étatique — a sidéré les enquêteurs autant que le grand public. Ce n'est pas un génie du mal, mais un adolescent qui a exploité une vulnérabilité élémentaire.
Une faille « vraiment stupide » : l'IDOR, la bête noire des développeurs
Le mode opératoire est d'une simplicité confondante. L'attaque a été rendue possible par une faille de type IDOR (Insecure Direct Object Reference), une vulnérabilité bien connue des spécialistes en cybersécurité. Concrètement, il suffisait de modifier un chiffre dans l'URL d'une requête API pour accéder aux données d'un autre citoyen. Aucun logiciel complexe, aucune technique de pointe : une simple manipulation de paramètre. Le pirate lui-même a qualifié la faille de « vraiment stupide » — et les experts lui donnent raison.
Une vulnérabilité listée depuis 2007 dans le top 10 OWASP
L'IDOR figure dans le top 10 des vulnérabilités les plus critiques de l'OWASP (Open Web Application Security Project) depuis 2007. C'est l'exemple canonique enseigné dès la première semaine de tout cursus en cybersécurité. Comme le souligne Christophe Mazzola, RSSI et chroniqueur au Journal du Net, « si l'un de nos développeurs livrait en production une API exposée à une faille IDOR sur des données personnelles, il perdrait son poste dans la journée ». Cette faille vieille de 19 ans est restée ouverte sur un portail régalien gérant les titres d'identité de dizaines de millions de Français.
Bruno Le Maire, ministre de l'Économie, a qualifié l'incident de « casse du siècle ». Une formule que les experts jugent pourtant excessive : techniquement, il s'agit d'un « casse de TP étudiant », comme le résume un professionnel du secteur. Le contraste est saisissant entre la gravité symbolique de l'attaque et la simplicité dérisoire de son exécution.
Budget colossaux, discipline absente : le grand décalage de la cybersécurité d'État
L'ANTS dispose en 2026 d'un budget propre supérieur à 315 millions d'euros. L'État français consacre entre 700 millions et un milliard d'euros par an à la cybersécurité. Les outils d'analyse statique automatique, qui détectent ce type de vulnérabilité avant tout passage en production, coûtent quelques milliers d'euros par an. Les tests d'intrusion sont une pratique courante dans les entreprises privées de taille moyenne. Comment expliquer, dès lors, qu'une faille aussi rudimentaire ait pu subsister sur un système critique ?
« Ce qui manque, c'est la discipline d'exécution »
Selon des témoignages concordants d'experts, la réponse est à chercher du côté de la culture d'entreprise et des processus internes, pas des moyens financiers. « Les outils existent. Les méthodes existent. Les budgets existent. Ce qui manque, c'est la discipline d'exécution », résume un RSSI interrogé. Cette absence de rigueur dans les contrôles de sécurité élémentaires, alors même que l'État multiplie les annonces de plans d'investissement — un chèque de 200 millions d'euros a été promis en renforcement —, suscite une vive colère dans la communauté de la cybersécurité. Le constat est amer : des entreprises de taille modeste appliquent des standards de sécurité que l'État n'a pas su garantir sur ses propres systèmes.
Les conséquences concrètes : auto-écoles et concessionnaires en première ligne
La mise hors ligne de l'ANTS, intervenue dans les heures suivant la découverte de l'attaque, a paralysé tout un pan de l'administration française. Les particuliers ont pu se tourner vers les mairies pour effectuer leurs démarches via formulaire papier, mais les professionnels, eux, sont bloqués.
Des auto-écoles dans l'impasse
Les auto-écoles sont parmi les plus impactées. Sans accès à la plateforme, il leur est impossible d'inscrire un candidat à l'examen du permis de conduire, que ce soit pour l'épreuve théorique (le code) ou la conduite. La délivrance des permis roses est également suspendue. Le problème central est le numéro NEPH (Numéro d'Enregistrement Préfectoral Harmonisé), indispensable pour démarrer la formation pratique. Si le ministère de l'Intérieur a accordé une période de tolérance permettant aux élèves de débuter leur formation sans ce numéro, les dossiers s'accumulent dangereusement. Les candidats ayant réussi leur examen doivent présenter deux documents en cas de contrôle : le certificat d'examen du permis de conduire (CEPC), valable 4 mois, et l'attestation de droits à conduire, téléchargeable sur mespoints.permisdeconduire.gouv.fr.
Cartes grises et importations bloquées
Les concessionnaires automobiles, en particulier ceux spécialisés dans les véhicules importés, font face à une situation encore plus délicate. Sans l'ANTS, l'immatriculation de certains véhicules, notamment étrangers, est tout simplement impossible. Or, rouler sans carte grise expose le conducteur à des amendes et à une immobilisation du véhicule. Les professionnels du secteur tirent la sonnette d'alarme, évoquant des pertes financières considérables et des clients mécontents.
Au-delà de l'incident : les leçons d'un échec systémique
Ce piratage dépasse le simple fait divers. Il met en lumière des fragilités structurelles dans la gouvernance de la cybersécurité publique en France. La faille IDOR n'est pas un accident : c'est le symptôme d'un système où la sécurité est pensée comme un coût plutôt que comme un investissement, où les processus de vérification sont négligés, et où la culture du risque reste insuffisamment intégrée.
Le spectre du phishing et de l'usurpation d'identité
Les 11,7 millions de comptes compromis exposent leurs titulaires à des risques accrus de phishing et d'usurpation d'identité. Les données dérobées — noms, adresses, dates de naissance, numéros de téléphone — sont autant d'éléments qui peuvent être utilisés par des criminels pour monter des arnaques ciblées. L'ANTS a envoyé un courriel aux usagers concernés, les informant de l'incident et les appelant à la vigilance. Mais comme le relèvent les experts, ce message se concluait par une formule paradoxale : « Vous n'avez ainsi aucune démarche à accomplir ». Une phrase techniquement exacte — il n'y a en effet pas de mot de passe à changer — mais symboliquement grotesque, car elle renvoie l'usager à son impuissance face à un risque dont il ne peut se prémunir.
Un signal d'alarme pour l'ensemble de l'administration
L'affaire de l'ANTS n'est pas un cas isolé. Elle rappelle que les administrations, malgré des budgets conséquents, peinent à appliquer les bonnes pratiques de cybersécurité les plus élémentaires. Les plans d'investissement annoncés, aussi massifs soient-ils, ne régleront rien si la culture de la sécurité n'est pas profondément réformée. La leçon est brutale : les données les plus sensibles de l'État peuvent être compromises par un adolescent équipé d'un simple navigateur web, exploitant une vulnérabilité que tout développeur junior connaît depuis près de vingt ans.
Pendant ce temps, alors que la France se remet à peine de ce séisme numérique, d'autres actualités continuent d'agiter le pays. Ce 7 mai 2026, alors que la plateforme reste inaccessible, les auto-écoles et les concessionnaires espèrent une réouverture rapide. Mais le mal est fait : la confiance dans la numérisation des services publics, déjà fragile, sort affaiblie de cet épisode. Et la question, lancinante, demeure : combien d'autres failles IDOR sommeillent-elles encore dans les systèmes d'information de l'État ?
Commentaires