ANTS / France Titres : fuite via faille IDOR
Une faille IDOR sur le portail moncompte.ants.gouv.fr a exposé les données de 11,7 millions de comptes (jusqu'à 19 millions revendiqués), confirmé par le ministère de l'Intérieur en avril 2026.
- Organisation
- ANTS / France Titres (Agence nationale des titres sécurisés)
- Secteur
- Secteur public
- Pays
- France
- Date des faits
- Intrusion détectée le 15 avril 2026 ; confirmation officielle le 20-21 avril 2026
- Ampleur
- 11,7 millions de comptes (officiel) ; jusqu'à 19 millions revendiqués par l'attaquant
- Vecteur
- faille API (IDOR / Insecure Direct Object Reference)
- Données exposées
- Identifiant de connexion, Civilité, Nom, Prénoms, Adresse e-mail, Date de naissance, Identifiant unique du compte ANTS, Adresse postale (potentiellement), Lieu de naissance (potentiellement), Numéro de téléphone (potentiellement)
L’Agence nationale des titres sécurisés (ANTS, désormais France Titres), qui gère en France la délivrance des cartes d’identité, passeports, permis de conduire et cartes grises, a détecté le 15 avril 2026 un incident de sécurité sur son portail moncompte.ants.gouv.fr. Le ministère de l’Intérieur a confirmé publiquement la fuite autour des 20-21 avril 2026. Selon plusieurs analyses techniques relayées par la presse spécialisée, la compromission reposerait sur une faille de type IDOR (Insecure Direct Object Reference) sur l’API du portail : en modifiant un identifiant dans les requêtes, il devenait possible d’accéder aux données d’autres usagers sans contrôle d’autorisation côté serveur.
Le ministère de l’Intérieur indique que les données exposées comprennent l’identifiant de connexion, la civilité, le nom, les prénoms, l’adresse e-mail, la date de naissance et l’identifiant unique du compte ; selon les profils, l’adresse postale, le lieu de naissance et le numéro de téléphone pourraient également être concernés. Les autorités précisent que les données biométriques et les pièces justificatives téléversées (copies de titres, justificatifs de domicile) ne seraient pas affectées, et que les éléments divulgués ne permettraient pas d’accès illégitime aux comptes nominatifs.
Sur l’ampleur, deux chiffres circulent. Le ministère de l’Intérieur a confirmé environ 11,7 millions de comptes concernés (chiffre officiel retenu ici). L’attaquant, se présentant sous le pseudonyme « breach3d », revendique de son côté jusqu’à 18-19 millions d’enregistrements, allégation non confirmée officiellement à ce stade. Le périmètre touche des personnes physiques résidant en France ainsi que des comptes professionnels.
Conformément à l’article 33 du RGPD, l’incident a été notifié à la CNIL. Un signalement a été transmis à la procureure de la République de Paris (article 40 du code de procédure pénale) et une enquête judiciaire a été ouverte, l’Office anti-cybercriminalité (OFAC) étant chargé des investigations. L’ANSSI et l’Inspection générale de l’administration ont également été saisies. Une réinitialisation de mot de passe a été imposée aux usagers. Certaines sources évoquent l’interpellation d’un mineur fin avril 2026 ; cette information reste à confirmer.