Depuis le 15 avril 2026, des millions de données personnelles françaises sont en vente sur des forums cybercriminels. Un intrus s’est introduit dans le système de l’ANTS via une vulnérabilité technique, a exfiltré des bases entières, puis a mis en vente entre 12 et 18 millions données personnelles. Il a fallu cinq jours à l’Agence Nationale des Titres Sécurisés (désormais connue sous le nom de France Titres) pour communiquer officiellement. Quand le ministère de l’Intérieur a confirmé les faits le 20 avril, le chiffre officiel était tombé : 11,7 millions de comptes concernés, et une ampleur qui reste à déterminer.
Pour rappel, l’ANTS gère en ligne l’ensemble des demandes de passeports, de cartes d’identité et de permis de conduire. Une fuite n’est donc pas à prendre à la légère.
Ce qui a fuité
Le ministère de l’Intérieur a détaillé les catégories de données compromises : identifiant de connexion, civilité, nom, prénoms, adresse électronique, date de naissance et identifiant unique du compte. Pour une partie des profils, s’y ajoutent l’adresse postale, le lieu de naissance et le numéro de téléphone, selon ce que les utilisateurs avaient renseigné au moment de créer leur espace. Les mots de passe, eux, n’ont pas été consultés. Les pièces jointes transmises dans le cadre de demandes de titres, notamment les scans de documents d’identité, n’ont pas non plus été exfiltrées, assure l’ANTS.
Si les informations les plus sensibles sont épargnées, le piratage des noms, prénoms, de la date de naissance et de l’adresse e-mail d’une personne suffit amplement pour construire une campagne de phishing massive, qu’il s’agisse d’un mail prétendument envoyé par l’ANTS, par FranceConnect ou par l’administration fiscale.
La CNIL, l’ANSSI et le parquet de Paris ont été saisis conformément aux obligations du RGPD, et l’Office anti-cybercriminalité (Ofac) a été chargé de l’enquête. En septembre 2025, une première annonce de vente de données prétendument issues de l’ANTS avait déjà circulé sur le dark web. L’ANSSI avait alors conclu à un recyclage de fuites plus anciennes. Cette fois, les autorités ont confirmé l’authenticité des données dérobées.
Un hacker de 15 ans
L’enquête n’a pas tardé à trouver son coupable. Le 29 avril, soit moins de deux semaines après la détection de l’intrusion, un mineur de 15 ans était mis en examen et placé sous contrôle judiciaire. Connu sous le pseudonyme « breach3d », il est soupçonné d’avoir exploité une vulnérabilité technique de la plateforme, puis proposé à la vente plusieurs millions de lignes de données sur des forums spécialisés dans le recel de données volées.
Le parquet de Paris a requis sa mise en examen pour « atteintes à un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État » et « détention d’équipement ou de programme permettant de commettre ces atteintes ». L’ensemble de ces délits exposent leur auteur à sept ans d’emprisonnement et 300 000 € d’amende.
La réaction politique a suivi. Le Premier ministre Sébastien Lecornu a annoncé une levée de 200 millions d’euros pour renforcer la cybersécurité des systèmes de l’État. Il a aussi évoqué la création d’une « autorité numérique de l’État », indispensable à l’heure où la France enregistre une moyenne de trois vols de données par jour depuis le début de l’année.
Depuis janvier 2026, les systèmes publics français accumulent les incidents : le fichier national des comptes bancaires (FICOBA) avait été compromis via l’usurpation des identifiants d’un fonctionnaire de Bercy, touchant 1,2 million de comptes. ÉduConnect avait à son tour exposé des données d’élèves. L’ANTS s’inscrit dans une série noire qui dessine un tableau préoccupant : les plateformes d’identité numérique de l’État sont devenues des cibles prioritaires, et leur sécurisation accuse un retard évident par rapport à l’ampleur des données qu’elles centralisent.
Pour les personnes concernées, il faut redoubler de vigilance : méfiez-vous de tout message non sollicité mentionnant une démarche liée à l’ANTS ou à FranceConnect, ne cliquez sur aucun lien reçu par e-mail ou SMS dans les prochaines semaines, et signalez toute tentative suspecte sur cybermalveillance.gouv.fr.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
