Le 15 avril 2026, l’Agence nationale des titres sécurisés (ANTS) a subi une intrusion informatique dont l’ampleur, progressivement révélée, donne le vertige. Un pirate aurait mis la main sur quelque 19 millions d’enregistrements, données d’état civil, identifiants de connexion, numéros d’habilitation, adresses postales, numéros de téléphone, avant de les mettre en vente sur un forum dédié aux cybercriminels. L’organisme en question n’est pas une administration périphérique : il gère les cartes nationales d’identité, les passeports, les permis de conduire et les certificats d’immatriculation de millions de Français. Ce qui est en cause ici n’est pas une fuite de données commerciales. C’est l’identité régalienne elle-même.

Il y a dans cette affaire quelque chose qui dépasse le simple incident technique. L’ANTS n’en est pas à sa première alerte : en septembre 2025, une base de données contenant entre 10 et 12 millions de fiches d’état civil était déjà apparue sur le dark web, sans que l’agence ait alors reconnu la moindre intrusion dans ses systèmes. La temporalité est donc édifiante. En moins d’un an, l’organisme chargé de sécuriser les titres d’identité des Français se retrouve deux fois en première ligne, avec une exposition croissante des données les plus sensibles qui soient.

Le portail ANTS, qui édite cartes d’identité et passeports, victime d’une fuite de données après une cyberattaque

https://t.co/Rm9h1KY94S pic.twitter.com/kikrYLtuhs — Le Parisien (@le_Parisien) April 20, 2026

Une architecture de confiance fragilisée

Ce que cette attaque révèle, c’est d’abord une vulnérabilité structurelle dans la chaîne de confiance que l’État est censé incarner vis-à-vis de ses citoyens. La délivrance de titres d’identité est l’une des fonctions souveraines les plus fondamentales : elle atteste qui vous êtes, vous donne accès au droit de vote, à la mobilité internationale, à l’exercice de droits civiques et professionnels. Confier cette infrastructure à un système numérique centralisé, c’est concentrer un actif stratégique exceptionnel, et donc en faire une cible de premier ordre.

L’agence a réagi conformément aux procédures : notification à la CNIL, ouverture d’une enquête par la procureure de la République de Paris, mise en garde aux usagers. Ces réponses sont nécessaires. Mais elles sont aussi révélatrices d’une logique de gestion de crise qui intervient après la compromission, jamais en amont. La question qui se pose n’est pas celle du protocole post-incident, mais celle des investissements, des audits et des architectures de sécurité qui auraient dû empêcher cette intrusion.

« Au regard des données personnelles et professionnelles concernées, il est cependant possible que vous receviez prochainement des appels ou des courriels indésirables. Aussi, nous vous recommandons de redoubler de vigilance, de ne jamais communiquer vos informations personnelles et de nous signaler toute activité inhabituelle sur votre compte. »

Cette mise en garde, publiée par l’ANTS elle-même, illustre le paradoxe de la situation : l’État, qui a pour mission de protéger l’identité de ses citoyens, en est réduit à leur demander de se protéger eux-mêmes des conséquences de sa propre défaillance. Ce renversement mérite d’être nommé clairement.

FLASH | Permis de conduire, carte d’identité… L’ANTS a été visée par une attaque informatique. De nombreuses données auraient fuité, comme les noms, prénoms, adresses électroniques, dates de naissance ou encore adresses postales et numéros de téléphone. 19 millions de… pic.twitter.com/lkCWypKLZt — Cerfia (@CerfiaFR) April 20, 2026

19 millions de raisons de s’interroger

Les données exfiltrées ont une valeur opérationnelle immédiate pour les cybercriminels. L’état civil combiné aux identifiants professionnels et aux coordonnées personnelles constitue un kit d’usurpation d’identité quasi clé en main. Les risques concrets sont multiples : ouverture frauduleuse de comptes bancaires, demandes de crédit, arnaques au phishing ciblées, voire compromission de professionnels habilités, agents de mairie, prestataires agréés ANTS, qui gèrent eux-mêmes des données sensibles pour le compte de l’administration.

Le chiffre avancé par le pirate, 19 millions d’enregistrements, n’a pas encore été formellement confirmé par l’ANTS. Il doit donc être traité avec la prudence qui s’impose. Les cybercriminels ont parfois intérêt à gonfler la valeur perçue de leur butin pour en maximiser le prix de vente. Cela dit, même une fraction de ce volume représenterait une fuite d’une gravité sans précédent pour un organisme d’État français.

La CNIL, saisie conformément au RGPD, dispose désormais d’un délai pour se prononcer sur les manquements éventuels. Mais sa capacité à infliger des sanctions significatives à un organisme d’État, et non à une entreprise privée, reste limitée par la nature même de son mandat. L’enquête judiciaire, conduite par le parquet de Paris, aura peut-être davantage de prise sur la réalité des responsabilités. Ce qui est certain, c’est que l’ensemble du périmètre de sécurité de l’ANTS devra faire l’objet d’un audit externe indépendant, public et rigoureux.

Au fond, cette affaire pose une question que les pouvoirs publics français ne peuvent plus esquiver : peut-on continuer à numériser massivement des fonctions régaliennes sans que la sécurité des infrastructures correspondantes soit traitée comme une priorité absolue ? La centralisation des données d’identité offre des gains d’efficacité réels. Mais elle crée simultanément des points de défaillance uniques dont l’exploitation, comme on le voit, peut affecter des millions de citoyens en un seul incident. Le débat sur l’architecture même de ces systèmes, centralisation versus distribution, cloud souverain versus mutualisation européenne, n’est plus un débat technique réservé aux experts. Il est devenu un enjeu de sécurité nationale au sens plein du terme.

Source : 01net.com

L’article ANTS piratée : jusqu’à 19 millions de données sensibles en circulation est apparu en premier sur PLANETES360 .