Outils / Actualités / Fuite de données au portail d'identité ANTS : 11,7 millions de citoyens français exposés
Presse

Fuite de données au portail d'identité ANTS : 11,7 millions de citoyens français exposés

· VaultTools

Le 22 avril 2026, l'ANTS (renommée France Titres), agence française des titres sécurisés, a confirmé une fuite de données exposant au moins 11,7 millions de comptes citoyens. Les attaquants « breach3d » et « ExtaseHunters » revendiquent 18 à 19 millions d'enregistrements et mettent en vente le jeu de données sur des forums criminels. Les scans de documents n'ont pas été touchés ; en revanche, noms, dates et lieux de naissance, adresses, numéros de téléphone et e-mails ont été exposés.

VaultTools · 30 avril 2026

Un passeport posé sur un bureau en bois, illustrant le type de document d'identité géré par le portail visé par la fuite. Photo sur Unsplash

Sommaire


Ce Qui S’est Passé

Le 15 avril 2026, l’ANTS (Agence Nationale des Titres Sécurisés, récemment renommée « France Titres »), agence du ministère français de l’Intérieur en charge des demandes de passeports, de cartes nationales d’identité, de permis de conduire et de titres de séjour, a détecté un incident de sécurité sur son portail citoyen. L’agence a confirmé publiquement la fuite le 22 avril 2026, après que des données extraites du système ont commencé à circuler sur un forum criminel.

Selon TechCrunch, Cybernews et d’autres médias français et internationaux, 11,7 millions de comptes sont confirmés comme exposés. Les attaquants revendiquent 18 à 19 millions d’enregistrements. L’ANTS ne cautionne pas ce chiffre plus élevé.

Ce Qui A Été Exposé et Ce Qui Ne L’a Pas Été

D’après l’ANTS et les éléments du jeu de données mis en vente, les enregistrements compromis comprennent :

  • Noms et prénoms complets
  • Dates de naissance
  • Lieux de naissance
  • Adresses postales
  • Adresses e-mail
  • Numéros de téléphone
  • Identifiants de connexion et identifiants de compte uniques

L’agence indique que les scans de documents, les photographies de passeport et les éléments d’authentification ne se trouvaient pas dans les systèmes affectés.

Les Attaquants

Deux pseudonymes ont publié le jeu de données sur des forums criminels : « breach3d » et « ExtaseHunters ». La première annonce est apparue le 16 avril 2026, soit un jour après la détection de l’incident par l’ANTS et six jours avant la confirmation publique.

L’enquête

L’ANSSI, agence nationale française de cybersécurité, dirige l’enquête technique aux côtés des forces de l’ordre. Le ministère de l’Intérieur a déposé un signalement pénal auprès du Parquet de Paris. La CNIL, autorité française de protection des données, a été officiellement notifiée au titre de l’article 33 du RGPD, qui impose une notification aux autorités de contrôle dans les 72 heures suivant la découverte.

L’ANTS a déclaré que « l’enquête visant à déterminer comment la fuite s’est produite et à mesurer son impact est en cours, et les personnes dont les données sont concernées sont en cours de notification ».

Pourquoi Un Portail Centralisé Est Un Point Unique De Défaillance

Le portail de l’ANTS est l’unique système d’État par lequel passe chaque demandeur français de passeport, de carte d’identité, de titre de séjour ou de permis de conduire. Par construction, il agrège les métadonnées d’identité d’une large part de la population adulte française.

Les champs compromis (nom, date de naissance, lieu de naissance, adresse postale, numéro de téléphone et e-mail) sont précisément les informations nécessaires pour construire des campagnes de phishing ciblé crédibles. Un e-mail qui mentionne un vrai nom, une date de naissance, un « dossier passeport incomplet » ou un « paiement de permis de conduire en attente » est plus difficile à écarter qu’une arnaque générique. Les attaquants n’ont pas eu besoin d’accéder aux scans de documents. Les métadonnées entourant ces documents ont suffi.

Ce Que Cela Signifie Pour Les Outils De Fichiers En Navigateur

Les portails centralisés qui collectent des données d’identité constituent des cibles à haute valeur. La seule façon, sur le plan architectural, de supprimer une cible est de ne pas collecter la donnée. Pour les flux documentaires, le schéma est simple : convertir, compresser, expurger et signer les fichiers sur l’appareil de l’utilisateur, sans que les octets du fichier ne touchent jamais un serveur tiers.

VaultTools applique exactement ce schéma. Les PDF sont fusionnés, les images redimensionnées, les métadonnées EXIF retirées, le tout dans le navigateur via WebAssembly. Pas d’upload, pas de base centrale à compromettre, pas d’enregistrement à mettre en vente sur un forum.

Un portail national d’identité ne peut pas, par construction, fonctionner ainsi ; l’État a besoin des enregistrements. Mais tout flux qui ne nécessite pas de stockage central mérite de rester local.


Sources