{"id":358,"date":"2026-06-23T08:00:00","date_gmt":"2026-06-23T08:00:00","guid":{"rendered":"https:\/\/shattered.io\/fr\/2026\/06\/23\/france-titres-ants-fuite-donnees-11m-2026\/"},"modified":"2026-06-23T08:38:11","modified_gmt":"2026-06-23T08:38:11","slug":"france-titres-ants-fuite-donnees-11m-2026","status":"publish","type":"post","link":"https:\/\/shattered.io\/fr\/france-titres-ants-fuite-donnees-11m-2026\/","title":{"rendered":"ANTS Pirat\u00e9 : 11,7 M Citoyens Fran\u00e7ais Expos\u00e9s [Avril 2026]"},"content":{"rendered":"\n

Le 15 avril 2026, l’Agence nationale des titres s\u00e9curis\u00e9s (ANTS), connue sous le nom commercial France Titres, a d\u00e9tect\u00e9 une intrusion dans son portail ants.gouv.fr<\/strong>. Neuf jours plus tard, le minist\u00e8re de l’Int\u00e9rieur confirmait : 11,7 millions de comptes citoyens compromis<\/strong>. Un acteur malveillant op\u00e9rant sous l’alias “breach3d” revendique, lui, entre 18 et 19 millions de records mis en vente sur des forums criminels. Passeports, permis de conduire, cartes nationales d’identit\u00e9, certificats d’immatriculation : l’ANTS centralise les demandes de la quasi-totalit\u00e9 des Fran\u00e7ais. Cette violation intervient dans un contexte alarmant o\u00f9 la France encaisse, depuis 2024, une s\u00e9rie sans pr\u00e9c\u00e9dent de fuites massives de donn\u00e9es personnelles gouvernementales.<\/p>\n\n\n\n

L’ANTS confirme 11,7 millions de comptes compromis<\/h2>\n\n\n\n

L’ANTS a publi\u00e9 son premier communiqu\u00e9 officiel le 22 avril 2026, une semaine apr\u00e8s la d\u00e9tection de l’incident. Le 24 avril 2026<\/strong>, le minist\u00e8re de l’Int\u00e9rieur pr\u00e9cisait dans une mise \u00e0 jour que 11,7 millions de comptes<\/strong> avaient \u00e9t\u00e9 affect\u00e9s. Ce chiffre repr\u00e9sente environ 17 % de la population fran\u00e7aise<\/strong>, estim\u00e9e \u00e0 68 millions d’habitants.<\/p>\n\n\n\n

L’agence a tenu \u00e0 pr\u00e9ciser les limites de la violation dans son annonce officielle : “La divulgation de donn\u00e9es n’inclut pas les donn\u00e9es suppl\u00e9mentaires soumises lors des diverses proc\u00e9dures, comme les pi\u00e8ces jointes. Ces donn\u00e9es personnelles ne permettent pas un acc\u00e8s non autoris\u00e9 au compte du portail.” Cette clarification est strat\u00e9gique : les scans de passeports, photos d’identit\u00e9 et donn\u00e9es biom\u00e9triques d\u00e9pos\u00e9s lors des demandes de titres ne font pas partie du dataset vol\u00e9, selon l’ANTS.<\/p>\n\n\n\n

Les notifications directes aux titulaires de comptes identifi\u00e9s comme affect\u00e9s ont d\u00e9but\u00e9 le 22 avril 2026<\/strong>, avant m\u00eame la confirmation officielle du bilan complet. L’agence a parall\u00e8lement mis en place des mesures de s\u00e9curit\u00e9 suppl\u00e9mentaires pour maintenir l’op\u00e9rabilit\u00e9 du portail, sans en pr\u00e9ciser la nature exacte pour des raisons op\u00e9rationnelles.<\/p>\n\n\n\n

Ce d\u00e9lai de neuf jours entre la d\u00e9tection (15 avril) et la confirmation publique du volume (24 avril) soul\u00e8ve des questions sur la transparence. Le r\u00e8glement g\u00e9n\u00e9ral sur la protection des donn\u00e9es (RGPD) impose une notification \u00e0 la CNIL dans les 72 heures<\/strong> suivant la d\u00e9couverte d’une violation. L’ANTS a indiqu\u00e9 avoir respect\u00e9 cette obligation, mais la communication publique vers les victimes a pris davantage de temps, une pratique qui amplifie les risques d’attaques opportunistes exploitant la fen\u00eatre d’ignorance des citoyens affect\u00e9s.<\/p>\n\n\n\n

Les hackers “breach3d” et “EvilDump” revendiquent 19 millions de records<\/h2>\n\n\n\n

Le 16 avril 2026<\/strong>, soit un jour apr\u00e8s la d\u00e9tection par l’ANTS, un acteur se pr\u00e9sentant sous l’alias “breach3d”<\/strong> publiait une revendication sur des forums criminels. Il affirmait d\u00e9tenir entre 18 et 19 millions de records extraits des syst\u00e8mes de l’ANTS, et proposait le dataset \u00e0 la vente \u00e0 un prix non divulgu\u00e9.<\/p>\n\n\n\n

Un second acteur, identifi\u00e9 sous l’alias “EvilDump”<\/strong>, a ensuite relay\u00e9 la mise en vente avec des revendications encore plus larges : 600 millions de lignes de donn\u00e9es (vraisemblablement des doublons ou des entr\u00e9es historiques), des mots de passe en clair, des cl\u00e9s API et de chiffrement, du code source, des m\u00e9tadonn\u00e9es de bases de donn\u00e9es, et des liens XML vers des scans de cartes d’identit\u00e9 et de passeports. Ces affirmations restent inv\u00e9rifiables et non confirm\u00e9es par l’ANTS ou les autorit\u00e9s fran\u00e7aises.<\/p>\n\n\n\n

L’\u00e9cart entre les 11,7 millions confirm\u00e9s<\/strong> par le minist\u00e8re et les 18-19 millions revendiqu\u00e9s<\/strong> par les acteurs malveillants s’explique probablement par l’inclusion d’entr\u00e9es historiques, de doublons ou de comptes inactifs dans le dataset extrait. Selon les analystes de Decryption Digest, “si le chiffre de 19 millions est valid\u00e9, cela repr\u00e9senterait la plus grande violation de donn\u00e9es individuelles de l’histoire fran\u00e7aise et l’une des dix plus grandes violations gouvernementales d’identit\u00e9 au niveau mondial.”<\/p>\n\n\n\n

Une diff\u00e9rence structurelle distingue cette attaque des ransomwares habituels : aucun chiffrement, aucune demande de ran\u00e7on<\/strong>. Il s’agit d’une op\u00e9ration pure d’exfiltration-revente, o\u00f9 la mon\u00e9tisation passe par la vente du dataset \u00e0 des tiers sur des march\u00e9s criminels. Ce mod\u00e8le, moins m\u00e9diatis\u00e9 que les ransomwares, est plus difficile \u00e0 contrer car il ne g\u00e9n\u00e8re aucun signal visible c\u00f4t\u00e9 victime pendant la phase d’exfiltration.<\/p>\n\n\n\n

Catalogue des donn\u00e9es vol\u00e9es : identit\u00e9 compl\u00e8te sans biom\u00e9trie<\/h2>\n\n\n\n

L’ANTS a confirm\u00e9 les champs de donn\u00e9es potentiellement expos\u00e9s pour chaque compte affect\u00e9. La combinaison de ces \u00e9l\u00e9ments constitue ce que les experts en fraude appellent un “profil d’identit\u00e9 de base”, suffisant pour initier de nombreuses arnaques cibl\u00e9es :<\/p>\n\n\n\n

Type de donn\u00e9e<\/th>Expos\u00e9 ?<\/th>Impact principal<\/th><\/tr><\/thead>
Identifiant de connexion (login)<\/td>Oui (tous les comptes)<\/strong><\/td>Phishing cibl\u00e9, credential stuffing<\/td><\/tr>
Civilit\u00e9 et nom complet<\/td>Oui (tous les comptes)<\/strong><\/td>Usurpation d’identit\u00e9, fraude documentaire<\/td><\/tr>
Adresse email<\/td>Oui (tous les comptes)<\/strong><\/td>Phishing, spam, spear-phishing<\/td><\/tr>
Date de naissance<\/td>Oui (tous les comptes)<\/strong><\/td>Fraude KYC, ouverture de comptes bancaires frauduleux<\/td><\/tr>
Identifiant unique de compte (UUID)<\/td>Oui (tous les comptes)<\/strong><\/td>Corr\u00e9lation inter-bases, enrichissement de profils criminels<\/td><\/tr>
Adresse postale<\/td>Partielle (certains comptes)<\/td>Ciblage physique, fraude postale<\/td><\/tr>
Lieu de naissance<\/td>Partielle (certains comptes)<\/td>Fraude \u00e0 l’\u00e9tat civil, dossiers KYC frauduleux<\/td><\/tr>
Num\u00e9ro de t\u00e9l\u00e9phone<\/td>Partielle (certains comptes)<\/td>Vishing (phishing vocal), attaques SIM swap<\/td><\/tr>
Pi\u00e8ces jointes (scans de titres, photos)<\/td>Non<\/strong> (confirm\u00e9 par l’ANTS)<\/td>N\/A<\/td><\/tr>
Mots de passe<\/td>Non<\/strong> (confirm\u00e9 par l’ANTS)<\/td>N\/A<\/td><\/tr>
Donn\u00e9es biom\u00e9triques<\/td>Non<\/strong> (confirm\u00e9 par l’ANTS)<\/td>N\/A<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

La combinaison nom complet + date de naissance + lieu de naissance + adresse email constitue un profil suffisamment riche pour contourner les proc\u00e9dures de v\u00e9rification d’identit\u00e9 de nombreuses banques en ligne, op\u00e9rateurs t\u00e9l\u00e9phoniques et administrations. Ce type de dataset est pr\u00e9cis\u00e9ment ce que les courtiers en donn\u00e9es criminels cherchent \u00e0 construire pour maximiser la valeur de revente sur le dark web, o\u00f9 chaque “profil complet” peut se n\u00e9gocier entre 5 et 50 dollars selon la fra\u00eecheur et la richesse des informations.<\/p>\n\n\n\n

Comment l’attaque a-t-elle \u00e9t\u00e9 men\u00e9e ?<\/h2>\n\n\n\n

L’ANTS n’a pas divulgu\u00e9 le vecteur d’attaque pr\u00e9cis. L’enqu\u00eate technique est conduite par l’Agence nationale de la s\u00e9curit\u00e9 des syst\u00e8mes d’information (ANSSI)<\/strong>, et ses conclusions n’ont pas encore \u00e9t\u00e9 rendues publiques. Ce silence op\u00e9rationnel est standard dans les investigations criminelles actives : r\u00e9v\u00e9ler trop t\u00f4t les d\u00e9tails techniques faciliterait l’identification de proc\u00e9d\u00e9s similaires exploitables contre d’autres syst\u00e8mes de l’\u00c9tat.<\/p>\n\n\n\n

Plusieurs \u00e9l\u00e9ments permettent d’\u00e9tablir un profil de l’attaque. L’absence totale de ransomware ou de chiffrement indique un acteur motiv\u00e9 par la revente de donn\u00e9es, probablement affili\u00e9 \u00e0 l’\u00e9conomie souterraine des “data brokers” criminels. La capacit\u00e9 d’exfiltrer un volume aussi important, potentiellement 19 millions de records, sans d\u00e9clencher d’alerte pendant plusieurs jours sugg\u00e8re soit une compromission d’identifiants l\u00e9gitimes avec des droits d’acc\u00e8s \u00e9lev\u00e9s, soit l’exploitation d’une vuln\u00e9rabilit\u00e9 dans l’API du portail permettant une extraction discr\u00e8te en volume.<\/p>\n\n\n\n

L’ANTS a pr\u00e9cis\u00e9 que l’incident est survenu “avant le 15 avril 2026”, date \u00e0 laquelle il a \u00e9t\u00e9 d\u00e9tect\u00e9. La fen\u00eatre d’exfiltration r\u00e9elle reste donc inconnue : les donn\u00e9es pourraient avoir \u00e9t\u00e9 copi\u00e9es en quelques heures ou sur plusieurs jours cons\u00e9cutifs avant que les syst\u00e8mes de surveillance ne d\u00e9clenchent une alerte. Cette incertitude est typique des attaques silencieuses orient\u00e9es exfiltration, qui privil\u00e9gient la discr\u00e9tion sur la vitesse pour \u00e9viter la d\u00e9tection par les syst\u00e8mes de monitoring comportemental.<\/p>\n\n\n\n

Une source proche de l’enqu\u00eate cit\u00e9e par SC World indique que l’attaque ne pr\u00e9sente aucune caract\u00e9ristique de sophistication extr\u00eame associ\u00e9e aux groupes \u00e9tatiques, ce qui oriente vers un acteur cybercriminel motiv\u00e9 financi\u00e8rement plut\u00f4t que vers une op\u00e9ration d’espionnage d’\u00c9tat.<\/p>\n\n\n\n

R\u00e9ponse institutionnelle : CNIL, ANSSI, OFAC et Parquet de Paris<\/h2>\n\n\n\n

La cha\u00eene de r\u00e9ponse institutionnelle d\u00e9ploy\u00e9e apr\u00e8s la d\u00e9tection illustre le protocole fran\u00e7ais de gestion des violations majeures. Quatre acteurs ont \u00e9t\u00e9 mobilis\u00e9s simultan\u00e9ment :<\/p>\n\n\n\n