Cyberattaque et fuite de données ANTS : noms, e-mails, dates de naissance exposés… pourquoi les citoyens sont les premières victimes de l’État

Des données personnelles associées au portail de l’ANTS ont été exposées après une cyberattaque détectée mi-avril 2026. Le ministère de l’Intérieur a confirmé un accès non autorisé à des informations d’identification, dans un service utilisé au quotidien pour des démarches comme le permis de conduire, la carte d’identité ou le passeport. Sur des forums fréquentés par des cybercriminels, une base attribuée au portail a été proposée à la vente, avec un volume avancé de plusieurs millions d’enregistrements.

Cyberattaque ANTS en France : phishing, usurpation d’identité… voici pourquoi cette faille met directement les citoyens en danger

Le chiffre exact, lui, reste discuté. Des acteurs en ligne revendiquent 18 à 19 millions de lignes, ce qui représenterait une part très importante des usagers adultes, mais l’authenticité et le périmètre précis ne sont pas encore stabilisés. Dans ce type d’incident, la question n’est pas seulement “qui a été touché”, c’est aussi “à quoi ces données peuvent servir”, notamment pour des arnaques ciblées, du hameçonnage et de l’usurpation d’identité.

Le ministère de l’Intérieur confirme une intrusion détectée le 15 avril

Le point de départ est daté. L’incident de sécurité a été détecté le 15 avril 2026 sur le portail, avec une confirmation publique quelques jours plus tard par le ministère de l’Intérieur. Entre la détection et la communication, l’administration a dû qualifier l’événement, vérifier ce qui a été consulté et sécuriser l’accès. C’est une étape classique, mais elle laisse un angle mort, le temps que des copies circulent déjà dans des espaces clandestins.

Le portail de l’ANTS, devenu “France Titres” dans la communication institutionnelle, concentre des démarches très sensibles. Concrètement, c’est là que des millions de personnes déposent une demande, suivent un dossier, récupèrent une notification, ou mettent à jour des informations. Cette centralisation simplifie la vie des usagers, mais elle crée aussi une cible très attractive. Un seul point d’entrée, et potentiellement une masse d’identifiants exploitables.

Sur des forums spécialisés, des pseudonymes ont revendiqué la mise en vente d’une base attribuée au service, avec une annonce publiée dès le 16 avril. Le vendeur affirme disposer d’un fichier massif, ce qui alimente l’inquiétude. Une source proche du dossier, citée dans la presse, n’a pas confirmé le volume mais n’a pas non plus démenti le chiffre avancé. L’important, c’est que l’ampleur est encore en cours d’évaluation.

Une nuance s’impose, parce que les mots comptent. On parle d’exposition ou d’accès non autorisé à des données, pas forcément d’une prise de contrôle totale des comptes. Dans beaucoup d’attaques, les pirates récupèrent des informations qui permettent surtout de tromper les victimes ensuite. Et c’est là que ça se complique, parce qu’une fuite “sans mots de passe” peut quand même déclencher des vagues d’escroqueries très efficaces.

Noms, dates de naissance et e-mails figurent dans les données concernées

Le ministère a détaillé les catégories de données susceptibles d’être concernées pour les comptes particuliers. On retrouve des informations d’identification comme la civilité, le nom, les prénoms, la date de naissance, l’adresse e-mail, l’identifiant de connexion et l’identifiant unique du compte. Selon les cas, d’autres champs peuvent apparaître, comme l’adresse postale, le lieu de naissance ou le téléphone, mais ils ne sont pas systématiques.

Ce cocktail est suffisant pour fabriquer des messages très crédibles. Un escroc qui connaît votre nom, votre date de naissance et le fait que vous avez un compte lié à des démarches administratives peut vous envoyer un e-mail “mise à jour obligatoire”, “dossier incomplet”, “paiement à régulariser”. Le piège, c’est que la victime se dit, “ils savent tout sur moi, donc c’est vrai”. C’est typiquement le carburant de l’ingénierie sociale.

Dans les signalements observés après des fuites similaires, l’arnaque la plus fréquente reste le hameçonnage. Exemple concret, un faux message “ANTS” qui renvoie vers un site copiant l’interface officielle, et qui réclame une pièce d’identité, un selfie, un RIB ou un paiement. La fuite ne donne pas forcément ces documents, mais elle sert à rendre l’attaque plus ciblée. Et plus c’est ciblé, plus le taux de clic grimpe.

Autre point important, l’ANTS a indiqué que les pièces jointes transmises pendant les démarches, photos, justificatifs, ne sont pas concernées. Cette précision réduit certains scénarios, mais elle ne neutralise pas le risque. Des données d’état civil et de contact peuvent suffire à déclencher une usurpation auprès d’un organisme tiers, surtout si l’escroc combine ces informations avec d’autres fuites plus anciennes disponibles sur le marché noir.

Jusqu’à 19 millions d’enregistrements revendiqués sur des forums cybercriminels

Le chiffre qui circule, c’est 18 à 19 millions d’enregistrements. Pris au pied de la lettre, cela dépasse le simple “incident limité” et ressemble à une base d’usagers très large. Mais il faut être prudent, parce que les vendeurs de données gonflent parfois les volumes pour augmenter le prix. Dans ces marchés clandestins, l’annonce est une vitrine, elle peut mélanger du vrai, du recyclé et du dupliqué.

Il existe un précédent qui oblige à garder la tête froide. En septembre 2025, une annonce sur le dark web proposait déjà des données prétendument issues de l’ANTS, avec 10 à 12 millions de Français, mais l’authenticité avait été contestée, avec l’hypothèse de fuites anciennes “repackagées”. Ce mécanisme est courant, un acteur récupère une base datant de plusieurs années, la renomme, et la revend comme “nouvelle”.

Ce qui change en avril 2026, c’est la confirmation officielle d’un accès non autorisé. Cette confirmation ne valide pas automatiquement le fichier vendu, mais elle donne un contexte favorable aux escrocs. “Puisque l’État admet une intrusion, mon fichier est crédible”, c’est l’argument. Et même si le fichier est partiellement faux, il peut suffire à lancer des campagnes d’e-mails à grande échelle, avec un rendement significatif.

Un expert en réponse à incident, présenté comme Marc, consultant en cybersécurité, résume le risque de manière très terre-à-terre, “quand tu as un e-mail et un état civil, tu n’as pas besoin d’un mot de passe pour faire des dégâts, tu as besoin d’un bon scénario”. Sa critique vise la communication publique, souvent trop technique. Le grand public entend “pas de pièces jointes volées”, et baisse la garde, alors que le danger se déplace vers les arnaques.

CNIL, parquet de Paris et OFAC saisis après la notification RGPD

Sur le plan institutionnel, la mécanique est enclenchée. Le ministère indique avoir notifié l’incident à la CNIL, dans le cadre des obligations du RGPD. En parallèle, un signalement a été transmis à la procureure de la République de Paris, au titre de l’article 40 du code de procédure pénale, ce qui ouvre la voie à des investigations judiciaires. C’est la trajectoire attendue pour un service public touché.

Le parquet de Paris a confirmé avoir reçu un signalement, et l’OFAC, l’Office anti-cybercriminalité, est saisi des investigations. Concrètement, cela signifie que l’enquête ne se limite pas à une analyse interne. Les enquêteurs vont chercher à comprendre comment l’accès a eu lieu, quelles traces existent, si une exfiltration est prouvable, et si des infrastructures techniques, serveurs, comptes, adresses IP, peuvent être reliées à un groupe.

Du côté des usagers, l’administration évoque une information personnalisée des personnes concernées. Dans ce type de crise, la façon dont ces messages sont rédigés compte énormément. Si l’alerte est trop vague, elle n’aide pas à agir. Si elle est trop alarmiste, elle crée de la panique et augmente paradoxalement le succès des arnaques, parce que les gens cliquent plus vite. L’équilibre est délicat, surtout avec un périmètre encore en cours de qualification.

Il y a aussi un enjeu de confiance. Le portail gère des démarches liées à l’identité, et l’identité, c’est le socle. Quand une institution annonce une fuite, même limitée à des données d’identification, la question qui revient est simple, “si ça a été possible une fois, est-ce que ça peut recommencer?”. L’évolution reste incertaine tant que les causes techniques n’ont pas été expliquées publiquement, même de façon synthétique.

Arnaques au faux dossier ANTS: les réflexes concrets à adopter dès maintenant

Le risque le plus immédiat, c’est l’arnaque. Un message qui prétend venir de l’ANTS peut demander de “confirmer votre identité” ou de “payer des frais”. Premier réflexe, ne pas cliquer sur un lien reçu par e-mail ou SMS, même si le message cite votre nom et votre date de naissance. Le bon geste, c’est de passer par l’accès habituel, en tapant l’adresse du site dans le navigateur, ou via un favori déjà connu.

Deuxième réflexe, renforcer la sécurité des comptes associés à l’adresse e-mail exposée. Changer le mot de passe de la boîte mail, activer une double authentification si elle est disponible, et vérifier les règles de transfert automatique, souvent ajoutées par des attaquants. Beaucoup d’usurpations commencent par la messagerie, parce qu’elle sert ensuite à réinitialiser des mots de passe ailleurs. Ce n’est pas spectaculaire, mais c’est souvent le point faible.

Troisième réflexe, surveiller les signaux faibles. Exemple concret, un appel qui se présente comme “service fraude”, qui connaît votre état civil, et qui vous pousse à agir vite, ou un e-mail qui mentionne un “dossier permis” alors que vous n’avez rien demandé. C’est là que l’ingénierie sociale fait mal, elle joue sur l’urgence. Un bon test, c’est de couper l’échange et de rappeler via un numéro officiel trouvé indépendamment.

Dernier point, il faut éviter un faux sentiment de sécurité. Le fait que les pièces jointes n’aient pas été compromises réduit le risque de vol direct de documents, mais il ne l’annule pas. Une base d’e-mails et de dates de naissance peut être recoupée avec d’autres fuites, et produire un profil très complet. Si vous recevez une notification personnalisée de l’administration, lisez-la, mais gardez en tête qu’un escroc peut copier le ton et le calendrier.