Le piratage de l’ANTS (Agence nationale des titres sécurisés) révèle une faille majeure dans la cybersécurité française. Plus de 11,7 millions de comptes ont été exposés, selon le ministère de l’Intérieur. Une attaque en ligne qui souligne l’urgence de renforcer la protection des données administratives, comme l’indique Baptiste Robert, hacker “éthique”, expert en cybercriminalité.
Le piratage de l’ANTS (Agence nationale des titres sécurisés) relance les inquiétudes autour de la sécurité des données publiques. Plus de 11,7 millions de comptes ont été touchés, révélant des failles préoccupantes dans les systèmes numériques de l’État. Faut-il y voir un incident isolé ou le symptôme d’un problème plus profond ? Éléments de réponse avec un expert en cybersécurité.
Connaît-on aujourd’hui l’ampleur du piratage de l’ANTS ?
Baptiste Robert (*) : Oui. Une communication officielle du ministère de l’Intérieur a confirmé le 21 avril que 11,7 millions de comptes étaient concernés. C’est un chiffre énorme, même si toutes les données aspirées lors du piratage ne sont pas critiques.
Ce piratage pose la question de la sécurité des sites publics. Avant l’ANTS, d’autres plateformes ont été visées. La France est-elle particulièrement vulnérable à ce genre d’attaques ?
Oui, on observe depuis la fin de l’année dernière une multiplication d’attaques contre des entités françaises. Le niveau global de cybersécurité n’est pas bon, ni dans le public ni dans le privé. Le problème, c’est l’ampleur du périmètre à protéger. Quand une petite équipe doit sécuriser des dizaines de milliers de comptes, c’est mission impossible. Les ressources humaines ne suffisent pas.
Le problème est donc plus large que le seul cas de l’ANTS ?
Oui, c’est un problème systémique. Ce n’est pas une question d’incompétence, mais de complexité. Les équipes font ce qu’elles peuvent avec peu de moyens. Il faut une réaction politique forte. Le Premier ministre devrait pousser les administrations à renforcer leurs dispositifs. Mais il n’y a pas de solution miracle. Il faut fidéliser les experts, mieux les payer et leur donner des outils modernes. Aujourd’hui, dix personnes doivent parfois protéger 30 000 utilisateurs. Il faut automatiser la détection et la réponse aux incidents. C’est un défi collectif qu’on retrouve aussi dans le secteur privé.
À lire aussi :
ANTS : le portail numérique qui édite les cartes d’identité et les passeports, victime d’une fuite de données après une cyberattaque
On entend parfois que la France est l’un des pays les plus en retard en Europe. Est-ce vrai ?
Non, ça, c’est faux. C’est une idée reçue. Des pays comme les États-Unis, la Russie ou l’Ukraine subissent des attaques bien plus massives. Les classements des pays en termes de cybersécurité qui circulent sur les réseaux sociaux ne reposent sur rien de solide.
Sur le cas précis de l’ANTS, quelles données ont été compromises ?
Ce sont des données d’état civil : nom, prénom, adresse e-mail, date de naissance. Rien de bancaire ou de biométrique, mais cela reste gênant. Les passeports et cartes d’identité n’ont pas fuité. Ce sont les comptes utilisés pour les démarches administratives sur le site de l’ANTS qui ont été piratés.
Les documents officiels eux-mêmes n’ont donc pas été compromis ?
Non, les documents ne sont pas concernés. L’attaque a été revendiquée sur un forum de cybercriminels. Le pirate a mis en vente les données et a cherché à se faire connaître en contactant des influenceurs spécialisés en cybersécurité. C’est une manière de se donner une réputation dans ce milieu.
À lire aussi :
Fuite de 1,5 million de photos d’élèves : l’UNSS victime d’une cyberattaque, des données sensibles ont fuité
Comment le pirate a-t-il réussi à accéder à autant de comptes ?
C’est une faille dite “IDOR”. En clair, chaque profil sur le site est identifié par un numéro dans l’URL. Le pirate a simplement modifié ce numéro pour accéder à d’autres comptes. En automatisant cette manipulation, il a pu récupérer les données de millions d’utilisateurs.
Sans même avoir besoin d’un mot de passe ?
Exactement. Il a juste changé le numéro dans l’adresse web. C’est une faille basique, mais redoutable quand elle n’est pas corrigée.
Quels sont alors les risques pour les personnes concernées ?
Pas de panique : ces données ont déjà probablement fuité ailleurs. Ce sont des informations d’état civil (prénom, nom, date de naissance…), donc leur fuite ne change pas fondamentalement la donne. Le vrai danger, c’est leur réutilisation pour des campagnes de phishing plus crédibles, car les escrocs peuvent personnaliser leurs messages avec de vraies données. La vigilance s’impose.