ANTS : le naufrage numérique qui livre 19 millions de Français aux pirates

Une faille "stupide" a permis le vol des données personnelles de 19 millions d'usagers de l'ANTS. Identités, adresses et dates de naissance sont dans la nature. Analyse d'un fiasco administratif qui va doper le phishing à l'échelle nationale.

Le verdict est tombé, et il est glacial. L'Agence nationale des titres sécurisés (ANTS), la forteresse censée garder nos identités, vient de se faire braquer comme une vulgaire supérette de quartier. Le bilan ? 19 millions d'enregistrements dans la nature. Un tiers de la population française.

Ce n'est pas une simple "fuite". C'est une hémorragie de confiance. Passeports, cartes d'identité, permis de conduire : tout ce qui fait de vous un citoyen aux yeux de l'État a été exposé.

La "faille stupide" : quand la porte n'est pas fermée

Le plus rageant dans cette affaire ? La technique utilisée. Pas besoin d'être un génie du code ou d'utiliser un supercalculateur de la NSA. Le pirate, répondant au pseudo de "breach3d", a exploité une vulnérabilité de type IDOR (Insecure Direct Object Reference).

Imaginez un immense casier judiciaire où chaque dossier est numéroté. Pour consulter le dossier n°100, vous changez simplement le chiffre dans la barre d'adresse de votre navigateur par "101". Et ça marche. Le système ne vérifie jamais si vous avez le droit d'être là. C'est le niveau zéro de la sécurité applicative. – Une erreur de débutant pour une agence d'État, c'est impardonnable. –

Un kit complet pour l'usurpation d'identité

Que contient ce butin ?

  • Identité complète (nom, prénoms, civilité)
  • Date et lieu de naissance
  • Coordonnées (email, téléphone, adresse postale)
  • Identifiants de compte

Heureusement, les scans de documents (justificatifs de domicile, photos) semblent épargnés. Mais ne crions pas victoire trop vite. Avec ce set de données, n'importe quel escroc peut monter une campagne de phishing (hameçonnage) ultra-personnalisée.

Recevoir un SMS mentionnant votre adresse exacte et votre date de naissance pour un prétendu problème de renouvellement de permis de conduire ? C'est le piège parfait. Le résultat ? Une explosion prévisible des fraudes bancaires et des usurpations d'identité dans les mois à venir.

La culture du "code vite fait"

Le problème est systémique. Dans la course à la dématérialisation, l'administration sacrifie trop souvent la robustesse sur l'autel de l'ergonomie. Un audit de sécurité basique, ou même un simple bug bounty (programme de récompense aux hackers éthiques), aurait débusqué cette faille IDOR en quelques minutes.

Au lieu de cela, l'Office anti-cybercriminalité (OFAC) ramasse les morceaux. Trop tard. La base de données est déjà en vente sur les forums cybercriminels. Une fois que la donnée est dehors, elle y reste pour l'éternité.

Comment limiter la casse ?

Ne paniquez pas, mais agissez. Puisque l'ANTS ne peut pas "rappeler" vos données, c'est à vous de verrouiller vos accès.

  • Méfiance absolue : Tout appel, SMS ou email se réclamant de l'ANTS ou de la Place Beauvau doit être considéré comme suspect. Ne cliquez sur aucun lien.
  • Changement de mot de passe : Si vous utilisiez le même mot de passe pour l'ANTS et d'autres sites, changez-les immédiatement. Utilisez un gestionnaire de mots de passe.
  • Identité numérique : Surveillez vos comptes bancaires et vos crédits. Une usurpation d'identité commence souvent par l'ouverture d'un compte à votre insu.

L'État a échoué dans sa mission de gardien. La balle est désormais dans votre camp pour protéger ce qu'il reste de votre vie privée.