Cyberattaque ANTS : 11,7 millions de comptes exposés, un adolescent de 15 ans arrêté
L'intrusion sur le portail moncompte.ants.gouv.fr a compromis les données personnelles de millions de Français. Un mineur a été interpellé et le gouvernement débloque 200 millions d'euros.
Le 15 avril dernier, le site de l'Agence nationale des titres sécurisés (ANTS) a été victime d'une cyberattaque massive. 11,7 millions de comptes ont été exposés. Un adolescent de 15 ans a été arrêté et le gouvernement a annoncé un plan d'urgence de 200 millions d'euros.
L’essentiel
- 11,7 millions : le nombre de comptes d’usagers (particuliers et professionnels) dont les données ont fuité sur le portail moncompte.ants.gouv.fr.
- 15 avril 2026 : date de la détection de l’intrusion par l’Agence nationale des titres sécurisés (ANTS).
- Mineur de 15 ans : un adolescent opérant sous le pseudonyme « breach3d » a été interpellé le 25 avril et mis en examen le 29.
- Faille IDOR : l’attaque a exploité une vulnérabilité sur l’API du site, permettant de consulter les données d’autres utilisateurs.
- Plan d’urgence : le Premier ministre Sébastien Lecornu a annoncé 200 millions d’euros pour renforcer la cybersécurité de l’État.
Ce qui s’est passé : une faille de sécurité exploitée par un adolescent
Le 15 avril 2026, l’Agence nationale des titres sécurisés (ANTS), opérateur public chargé de délivrer les passeports, cartes d’identité et permis de conduire, détecte une intrusion sur son portail moncompte.ants.gouv.fr. Très vite, l’ampleur du sinistre apparaît : 11,7 millions de comptes d’usagers - particuliers comme professionnels - ont été exposés. Selon les experts en cybersécurité consultés, l’attaque a exploité une faille de type Insecure Direct Object Reference (IDOR), une vulnérabilité bien connue qui permet de consulter les profils d’autres utilisateurs en modifiant simplement un identifiant dans l’URL. L’auteur présumé, un adolescent de 15 ans se faisant appeler « breach3d », a été interpellé le 25 avril par l’Office anti-cybercriminalité (OFAC). Le 29 avril, la procureure de Paris, Laure Beccuau, a ouvert une information judiciaire et requis sa mise en examen.
Quelles données ont fuité ?
Les données exposées concernent principalement l’état civil (nom, prénom, date et lieu de naissance), les adresses postales et électroniques, ainsi que, pour les professionnels, les numéros SIREN. En revanche, l’ANTS précise que les mots de passe et les pièces jointes (copies de titres d’identité) n’ont pas été compromis. De fait, les autorités assurent que ces informations ne permettent pas d’accéder frauduleusement aux comptes ou aux titres sécurisés eux-mêmes. Toutefois, le risque d’usurpation d’identité est réel : avec les éléments dérobés, un fraudeur peut ouvrir des comptes bancaires ou souscrire des crédits au nom de la victime.
L’enquête confiée à l’OFAC
L’enquête judiciaire est menée par la section cyber J3 du parquet de Paris, avec l’appui de l’Office anti-cybercriminalité (OFAC). Les investigations se concentrent sur le mode opératoire du jeune pirate, mais aussi sur d’éventuels complices. Le parquet n’a pas communiqué sur le profil exact de l’adolescent, si ce n’est qu’il résidait dans la région parisienne et qu’il a été interpellé sans difficulté. Selon une source proche de l’enquête, la faille IDOR exploitée était ancienne mais n’avait pas été corrigée. « C’est un scénario classique : une API mal configurée, un contrôle d’accès défaillant. Le jeune a simplement automatisé la requête pour aspirer les données. »
Contexte dans le département de Paris / Île-de-France
Si la cyberattaque touche l’ensemble du territoire, c’est à Paris que se joue l’essentiel de la réponse. L’ANTS a son siège à Charleville-Mézières, l’OFAC est basé à Nanterre et le parquet de Paris pilote l’enquête. L’Île-de-France concentre les infrastructures numériques de l’État : c’est aussi le département qui compte le plus de comptes ANTS, avec plusieurs millions d’usagers. Cette affaire rappelle que la région capitale, plaque tournante des services publics en ligne, est aussi une cible privilégiée pour les cyberattaques. En 2024 déjà, la région Île-de-France avait été victime d’une attaque par rançongiciel, mais jamais une fuite de cette ampleur n’avait été observée sur un service d’État.
La réaction du gouvernement : 200 millions d’euros et une nouvelle autorité
Le 30 avril, le Premier ministre Sébastien Lecornu a annoncé le déblocage immédiat de 200 millions d’euros pour renforcer la protection des plateformes numériques de l’État. Ce plan prévoit notamment la fusion de la Direction interministérielle du numérique (DINUM) et de la Direction interministérielle de la transformation publique (DITP) au sein d’une nouvelle Autorité numérique de l’État, directement rattachée au Premier ministre. « Nous devons tirer les leçons de cet incident. La sécurité des données des citoyens est une priorité absolue », a déclaré le chef du gouvernement. Cette décision intervient alors que l’été 2026 est marqué par d’autres grands événements : le Tour de France, avec l’abandon de Clément Berthet après une chute, et la Coupe du monde de football, où les Bleus affrontent le Paraguay dans des conditions de chaleur extrême. Malgré ces actualités sportives, la question de la cybersécurité reste brûlante.
L’ANTS, de son côté, a immédiatement corrigé la faille et invite les usagers à être vigilants face aux tentatives d’hameçonnage. Aucune intrusion malveillante n’a été détectée sur les comptes eux-mêmes, mais une campagne de sensibilisation a été lancée. Les personnes concernées peuvent vérifier si leurs données ont été exposées via un service dédié mis en place par l’agence.
Prochaine étape : l’enquête se poursuit
L’instruction judiciaire suit son cours. Le mineur mis en examen devra répondre de ses actes devant le tribunal pour enfants de Paris. Parallèlement, l’ANTS et le ministère de l’Intérieur travaillent à un audit complet de la sécurité des plateformes de l’État. La fusion des directions numériques devrait être effective d’ici la fin de l’année. En attendant, les 11,7 millions de Français dont les données ont fuité restent sous la menace d’une éventuelle exploitation.