L'Agence nationale des titres sécurisés (ANTS) confirme une fuite massive touchant jusqu'à 19 millions de comptes sur ants.gouv.fr : noms, dates de naissance, emails, adresses postales et téléphones seraient exposés. L'attaquant « breach3d » vend le jeu sur forum clandestin depuis le 16 avril. CNIL et parquet de Paris saisis.
En bref
- L'Agence nationale des titres sécurisés (ANTS, ants.gouv.fr) confirme une fuite de données touchant jusqu'à 19 millions de citoyens.
- Un acteur nommé « breach3d » vend le jeu sur forum underground depuis le 16 avril 2026.
- Données exposées : noms complets, emails, dates de naissance, adresses postales, téléphones, identifiants uniques de compte.
Les faits
L'ANTS, rattachée au ministère de l'Intérieur et responsable des titres sécurisés français (carte d'identité, passeport, permis de conduire, titres de séjour), a détecté le 15 avril 2026 un incident de sécurité sur son portail ants.gouv.fr. L'agence a confirmé publiquement la brèche le 22 avril, après qu'un acteur opérant sous le pseudonyme « breach3d » a mis en vente le 16 avril un jeu de données revendiqué à 19 millions d'enregistrements sur un forum clandestin, soit environ un tiers de la population française adulte.
Selon les extraits publiés par l'attaquant, les données concernent à la fois les comptes particuliers et professionnels et incluent les noms complets, les dates de naissance, les adresses postales, les emails, les numéros de téléphone, les identifiants de compte uniques ainsi que des métadonnées de sexe et d'état civil. L'incident a été notifié à la CNIL au titre de l'article 33 du RGPD, et le ministère a déposé plainte au parquet de Paris au titre de l'article 40 du Code de procédure pénale.
Impact et exposition
Le dataset ne contient pas de numéros de pièce d'identité ni de pièces justificatives scannées selon les éléments disponibles, mais la combinaison identité civile + email + téléphone + adresse postale suffit à alimenter des campagnes de phishing hautement ciblées. Les autorités françaises (CERT-FR, DGSI) ont alerté sur le risque immédiat : usurpation d'identité administrative, faux avis de renouvellement de titre, fausses convocations préfectorales, SIM swapping ciblé. Le jeu n'a pas encore été diffusé gratuitement ; il reste sous offre de vente, ce qui laisse une fenêtre étroite pour prévenir les victimes probables.
Recommandations
- Pour les citoyens concernés : vigilance renforcée sur tout email ou SMS faisant référence à l'ANTS, au renouvellement de carte d'identité ou de permis. Ne jamais cliquer sur un lien reçu par message, passer uniquement par ants.gouv.fr saisi à la main.
- Pour les DPO et RSSI d'administrations partenaires de l'ANTS : vérifier les flux d'intégration (API, webhooks) et révoquer toute clé d'API active avant fin avril.
- Pour les opérateurs télécoms : activer les mécanismes anti-SIM-swap et les vérifications d'identité renforcées sur les demandes de portabilité.
- Pour les banques et fintech : ajuster les modèles de détection de fraude pour intégrer les signaux issus de ce corpus (combinaisons identité/adresse/email cohérentes mais utilisées à des fins frauduleuses).
Alerte critique
Un tiers de la population française est potentiellement concerné. Le CERT-FR a émis un bulletin d'alerte nationale. Préparez vos équipes support et cellule fraude à une vague de phishing et d'ingénierie sociale dans les 4 à 8 semaines qui viennent.
Comment savoir si mes données font partie du lot ?
Pour l'instant, aucun service officiel type HaveIBeenPwned n'a intégré le jeu. L'ANTS devrait notifier individuellement les personnes concernées au titre du RGPD dans les semaines qui viennent. Par précaution, considérez que tout détenteur d'un compte ants.gouv.fr est potentiellement exposé.
Faut-il changer de mot de passe ANTS ?
Oui. Même si les mots de passe hachés ne figurent pas dans l'échantillon vu, la bonne hygiène impose une rotation après toute brèche, surtout si le même mot de passe est réutilisé ailleurs. Activez également la double authentification si disponible.
Votre organisation est-elle préparée à une notification RGPD Article 33 ?
Ayi NEDJIMI accompagne les RSSI et DPO dans la construction de plans de réponse à incident alignés avec les obligations réglementaires françaises et européennes.
Prendre rendez-vousÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
FIRESTARTER : APT persistant sur les pare-feu Cisco ASA
CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire