Le ministère de l’Intérieur a confirmé le 21 avril 2026 qu’environ 11,7 millions de comptes du portail France Titres (ex-ANTS) avaient été compromis lors d’une cyberattaque détectée le 15 avril. La faille exploitée, de type IDOR, est l’une des vulnérabilités les plus élémentaires du référentiel OWASP. Un adolescent de 15 ans a été interpellé le 25 avril.
Les faits
L’incident a été identifié le 15 avril 2026 sur le portail moncompte.ants.gouv.fr, opéré par France Titres, l’agence rebaptisée qui gère les demandes de cartes nationales d’identité, passeports, permis de conduire et certificats d’immatriculation. Le 21 avril, le ministère de l’Intérieur a publié un communiqué d’étape précisant qu’environ 11,7 millions de comptes étaient concernés par la fuite, sur un portail utilisé par dizaines de millions de Français.
Les données exposées comprennent l’identifiant de connexion, la civilité, les nom et prénoms, l’adresse électronique, la date de naissance et l’identifiant unique du compte. Pour une partie des usagers, l’adresse postale, le lieu de naissance et le numéro de téléphone ont également été exfiltrés. Les pièces jointes déposées lors des démarches et les données biométriques n’auraient pas été compromises selon le ministère.
L’incident a été notifié à la CNIL conformément à l’article 33 du RGPD, signalé à l’ANSSI, et un signalement a été transmis à la Procureure de la République de Paris au titre de l’article 40 du code de procédure pénale. Le 25 avril, un mineur de 15 ans, présumé être l’auteur opérant sous le pseudonyme « breach3d », a été placé en garde à vue puis présenté à des juges d’instruction. La procureure de Paris Laure Beccuau a précisé que sa mise en examen et son placement sous contrôle judiciaire ont été requis pour atteintes à un système de traitement automatisé de données mis en œuvre par l’État. Les délits visés exposent à sept ans de prison et 300 000 euros d’amende.
Le manquement technique en cause
La vulnérabilité exploitée est une faille de type IDOR (Insecure Direct Object Reference). Concrètement, l’attaquant pouvait modifier un identifiant numérique dans une requête envoyée à l’API du portail pour accéder aux données d’un autre utilisateur, sans qu’aucun contrôle d’autorisation côté serveur ne s’y oppose. Aucun mot de passe à deviner, aucune technique d’intrusion sophistiquée, aucune vulnérabilité zero-day. Le pirate présumé a lui-même qualifié la faille de « vraiment stupide ».
Cette catégorie de faille figure dans le Top 10 OWASP depuis plus de dix ans et fait partie des points de contrôle systématiques d’un audit d’API standard. Elle est répertoriée comme catégorie A01:2021 – Broken Access Control par l’OWASP et traitée dès les premières semaines de toute formation en cybersécurité applicative.
Au plan réglementaire, le manquement relève de l’article 32 du RGPD, qui impose au responsable de traitement de mettre en œuvre les mesures techniques et organisationnelles appropriées au regard du risque. Il croise également les exigences du contrôle d’accès de la norme ISO/IEC 27001:2022 (annexe A, contrôles 5.15 à 5.18 sur le contrôle d’accès, et contrôle 8.3 sur la restriction d’accès à l’information). Une enquête est ouverte du côté de la CNIL. Selon plusieurs sources spécialisées, une alerte similaire avait circulé sur le dark web dès septembre 2025, traitée à l’époque comme un recyclage de fuites antérieures et sans audit approfondi de l’API.
Ce que ça change pour les responsables qualité
Pour les RSSI et DPO en charge d’un système de management de la sécurité de l’information, l’incident est un cas d’école sur trois points. Le premier concerne la cartographie effective des flux d’API et la couverture du périmètre d’audit. Une politique ISO 27001 documentée ne vaut que par la réalité de ses contrôles techniques sur les ressources exposées en frontend et en backoffice. La revue des autorisations post-authentification est rarement le point fort des audits internes, alors que c’est précisément le maillon qui a cédé.
Le deuxième point concerne le traitement des signalements. Le délai entre la première alerte de septembre 2025 et l’exploitation effective d’avril 2026 interroge le processus de gestion des vulnérabilités au sens de l’annexe A.8.8 d’ISO/IEC 27001:2022. Tout signalement d’une fuite supposée, même non confirmée, devrait déclencher un audit ciblé et tracé, pas un communiqué de démenti.
Le troisième point est celui de l’effet de chaîne. Avec 11,7 millions d’identités civiles dans la nature, les campagnes de phishing ciblé visant les salariés et dirigeants français vont se sophistiquer dans les prochains mois. Les responsables qualité dont l’organisation gère des données personnelles ou des accès à distance ont intérêt à programmer dès maintenant un test de leurs procédures de réponse à incident et un rappel de sensibilisation.
Pour aller plus loin
L’incident France Titres rappelle que la conformité RGPD article 32 et la couverture ISO/IEC 27001:2022 ne tiennent qu’à la qualité du contrôle d’accès et de la gestion des vulnérabilités. Deux référentiels qui se construisent à partir d’un système documentaire à jour.
Kit documentaire ISO/IEC 27001:2022 et Kit documentaire RGPD couvrent l’ensemble des exigences techniques et organisationnelles concernées par cet incident. Pour suivre en continu les sanctions CNIL et les évolutions réglementaires sur la sécurité de l’information : Veille Réglementaire et Normative MQ.
Avertissement : cet article rapporte des faits publics issus de sources officielles à la date de publication. Les éléments d’enquête peuvent évoluer. Les personnes mises en cause bénéficient de la présomption d’innocence jusqu’à condamnation définitive. Cet article ne constitue ni un conseil juridique ni un audit de conformité.
Sources : Ministère de l’Intérieur, communiqué du 21 avril 2026 ; communiqué de la procureure de la République de Paris du 30 avril 2026 ; documentation OWASP A01:2021 – Broken Access Control.
La rédaction MQ
