Une faille de sécurité sur le site de l’ANTS aurait permis l’accès à des données sensibles de près de 19 millions d’usagers. Origine, risques et réactions : ce que l’on sait.
Un incident de sécurité a touché ANTS, l’organisme public chargé de la gestion des titres officiels comme les cartes d’identité, les permis de conduire ou les cartes grises. Selon plusieurs éléments concordants, une vulnérabilité technique aurait permis l’accès à un volume très important de données personnelles. L’agence a reconnu un accès non autorisé à certaines informations via son portail. Dans un message adressé à ses utilisateurs professionnels, elle indique qu’aucune action immédiate n’est requise. Une communication jugée prudente, alors que l’ampleur potentielle de la fuite suscite des inquiétudes.
Dans cet article :
Une faille technique simple à exploiter
Une base de données présentée comme issue de la plateforme a été proposée à la vente sur un forum spécialisé. Elle contiendrait entre 18 et 19 millions d’enregistrements, ce qui en ferait l’un des incidents les plus importants de ce type en France.
L’origine de l’incident serait liée à une vulnérabilité de type IDOR (Insecure Direct Object Reference). Ce type de faille survient lorsqu’un système ne vérifie pas correctement les droits d’accès d’un utilisateur. Concrètement, il aurait suffi de modifier un identifiant dans une requête pour accéder aux informations d’un autre utilisateur. Aucun mécanisme de contrôle ne bloquait cette manipulation, ce qui rendait l’exploitation particulièrement simple.
Cette faille aurait été identifiée sur l’interface “mon compte“ du site de l’ANTS. Interrogé par le site spécialisé FrenchBreaches, un individu se présentant comme l’auteur de la fuite a résumé la situation en des termes directs :
« c’était une faille vraiment stupide ».
Ce type de vulnérabilité est connu et documenté depuis plusieurs années dans le domaine de la cybersécurité. Sa présence sur une plateforme manipulant des données administratives sensibles interroge sur les procédures de contrôle mises en place.
VOIR AUSSI : Fuite de données bancaires FICOBA : les premières arnaques ciblées ont frappé
Des données particulièrement sensibles concernées
Au-delà du nombre de personnes potentiellement touchées, la nature des informations exposées constitue un point central. Les données évoquées incluraient :
- les noms,
- prénoms,
- adresses e-mail,
- numéros de téléphone,
- dates et lieux de naissance,
- adresses postales complètes.
Certaines entrées indiqueraient également que l’identité des personnes a été vérifiée par l’administration. Ce détail renforce la crédibilité des informations en cas d’utilisation frauduleuse.
Avec un tel niveau de précision, ces données peuvent être exploitées pour des tentatives d’usurpation d’identité ou des campagnes de phishing particulièrement ciblées. Les messages frauduleux peuvent paraître crédibles en reprenant des informations exactes, ce qui augmente les risques pour les personnes concernées.
L’ANTS elle-même recommande de rester vigilant face aux sollicitations inhabituelles et de ne jamais transmettre d’informations sensibles par téléphone, e-mail ou SMS.
Une enquête en cours et des vérifications attendues
L’incident a été signalé à la CNIL. Une procédure judiciaire a également été engagée auprès du parquet de Paris. À ce stade, l’authenticité complète de la base de données mise en vente n’a pas encore été confirmée publiquement. Les investigations devront déterminer précisément l’origine de la fuite, son étendue réelle et les responsabilités éventuelles.
Ce nouvel épisode intervient dans un contexte où les cyberattaques visant des services publics ou des plateformes largement utilisées se multiplient. Il rappelle surtout que la sécurité des données repose autant sur des technologies robustes que sur des vérifications élémentaires.
BuzzWebzine est un média indépendant. Soutiens-nous en nous ajoutant à tes favoris sur Google Actualités :
