Le 15 avril 2026, l'Agence nationale des titres sécurisés — l'organisme public qui gère vos passeports, cartes d'identité, permis de conduire et cartes grises — a été victime d'une cyberattaque d'une ampleur sans précédent en France. En quelques heures, les données personnelles de millions de citoyens se retrouvaient en vente sur des forums cybercriminels. Quinze jours plus tard, l'enquête aboutissait à l'interpellation d'un adolescent de 15 ans.
Voici l'histoire complète de ce séisme numérique, ses conséquences concrètes pour vous, et surtout ce que vous devez faire maintenant.
Chronologie des faits
L'France Titres (ANTS) détecte une « activité inhabituelle » sur son réseau et entame des vérifications internes. Aucune communication publique à ce stade.
Le portail moncompte.ants.gouv.fr est officiellement compromis. Sur les forums cybercriminels, un hacker se présentant sous le pseudonyme « breach3d » revendique le vol et met en vente une base de données contenant entre 18 et 19 millions d'enregistrements. L'France Titres (ANTS) envoie un premier email aux usagers, se concluant par la formule rassurante : « Vous n'avez aucune démarche à accomplir. »
La section de lutte contre la cybercriminalité du parquet de Paris est avisée et ouvre immédiatement une enquête. L'France Titres (ANTS) notifie l'incident à la CNIL, conformément à l'article 33 du RGPD.
Le ministère de l'Intérieur publie un communiqué confirmant l'exposition de données d'identification et de contact. Il précise que pièces justificatives, données bancaires et données biométriques ne sont pas concernées.
Un email officiel est envoyé à l'ensemble des victimes potentielles, listant les données exposées et rassurant sur la validité des titres.
Un mineur de 15 ans est interpellé et placé en garde à vue. Les investigations avaient rapidement conduit les enquêteurs vers ce profil, soupçonné d'être l'auteur du pseudonyme « breach3d ».
Le parquet de Paris ouvre une information judiciaire. Le mineur est mis en examen et placé sous contrôle judiciaire pour atteintes à un système de traitement automatisé de données personnelles mis en œuvre par l'État et détention d'équipement ou de programme permettant de commettre ces atteintes.
La procureure de Paris, Laure Beccuau, confirme publiquement l'interpellation. Sébastien Lecornu se rend dans les locaux de l'France Titres (ANTS) et annonce un renforcement des mesures contre les cyberattaques.
Comment la faille a-t-elle été exploitée ?
La technique utilisée est aussi simple qu'humiliante pour une agence d'État : une vulnérabilité de type IDOR (Insecure Direct Object Reference). En clair, il suffisait de modifier un simple identifiant numérique dans une requête API pour accéder aux données d'un autre utilisateur — sans aucun contrôle d'autorisation.
C'était une faille vraiment stupide.
Une faille qu'un audit de sécurité basique aurait détecté en quelques heures. Et qui a permis à un adolescent de mettre à genoux l'agence qui gère les titres d'identité de tous les Français.
Quelles données ont été volées ?
Le ministère de l'Intérieur a officiellement confirmé l'exposition des données suivantes :
- ⚠ Nom et prénom
- ⚠ Date de naissance
- ⚠ Adresse électronique
- ⚠ Identifiant de connexion et identifiant unique du compte France Titres (ANTS)
- ⚠ Pour certains comptes : adresse postale et numéro de téléphone
Données bancaires, mots de passe, données biométriques, pièces justificatives (photos d'identité, justificatifs de domicile), et numéros de demande de titres. La validité de vos documents officiels n'est pas remise en cause.
Cependant, selon les analyses du blog spécialisé FrenchBreaches, la base mise en vente par « breach3d » contiendrait potentiellement des informations supplémentaires — dont l'authentification est encore en cours au moment de la rédaction de cet article.
Quels risques concrets pour vous ?
Ne sous-estimez pas la valeur de ces informations aux yeux des fraudeurs. Un profil civil avec nom, prénom, date de naissance et adresse email — vérifié par l'État — est une mine d'or pour des arnaques ciblées.
Ni l'France Titres (ANTS), ni le ministère de l'Intérieur, ni l'ANTAI n'enverront jamais de demandes urgentes de paiement ou de transmission d'informations personnelles par SMS ou email. Toute sollicitation de ce type est une tentative d'arnaque. Vérifiez toujours directement sur les portails officiels.
Que faire si vous êtes concerné ?
Toute personne ayant effectué une démarche sur ants.gouv.fr — carte grise, permis de conduire, carte d'identité ou passeport — est potentiellement touchée. Voici les réflexes à adopter sans tarder :
- ✓ Vérifiez votre boîte mail (y compris vos spams) : l'France Titres (ANTS) a envoyé un email de notification le 23 avril. L'absence de mail ne signifie pas que vous êtes hors de danger.
- ✓ Changez vos mots de passe : compte France Titres (ANTS), email principal, et tous les services utilisant le même mot de passe. Utilisez un gestionnaire de mots de passe.
- ✓ Vérifiez si votre email est compromis sur le site HaveIBeenPwned.com.
- ✓ Surveillez vos comptes bancaires et signalez tout prélèvement suspect à votre banque (vous avez 13 mois pour contester).
- ✓ Méfiez-vous de tout message évoquant une carte grise à régulariser, un permis à renouveler ou une pièce d'identité à mettre à jour.
- ✓ Vérifiez votre fichier FICOBA (comptes bancaires à votre nom) via votre espace impots.gouv.fr.
- ✓ En cas de fraude constatée, déposez plainte et signalez-le sur la plateforme Perceval pour les fraudes à la carte bancaire.
- ✓ Alertez vos proches : prévenir votre entourage, c'est les protéger.
Quelles suites judiciaires ?
Le suspect interpellé est un mineur de 15 ans, désormais mis en examen et placé sous contrôle judiciaire. Les délits visés — atteintes à un système informatique de l'État et détention d'équipements permettant ces atteintes — font encourir jusqu'à 7 ans d'emprisonnement et 300 000 € d'amende.
Les investigations se poursuivent sous la direction d'un juge d'instruction. D'autres complices potentiels pourraient être identifiés.
Vous pouvez saisir la CNIL si vous estimez que l'France Titres (ANTS) n'a pas suffisamment protégé vos données (une faille IDOR constitue un manquement manifeste à l'article 32 du RGPD). Vous pouvez également engager une action en responsabilité civile. Des actions collectives se préparent — vous avez 5 ans pour agir à compter de la connaissance du dommage. Plus votre dossier est constitué tôt, plus il est solide.
Ce que cette affaire révèle
Au-delà du fait divers, cette cyberattaque soulève des questions fondamentales que les professionnels du secteur — comme nous, prestataires habilités pour les démarches d'immatriculation — ne peuvent pas ignorer.
1. La dématérialisation forcée n'est pas sans risques. Depuis le Plan Préfectures Nouvelle Génération, les démarches de carte grise sont 100 % en ligne. Centraliser autant de données sensibles sur une seule plateforme crée une cible de choix. Et la faille exploitée ici — une absence de vérification d'autorisation dans une API — est précisément le genre d'erreur qu'un audit de sécurité élémentaire aurait détectée.
2. La communication de crise laisse à désirer. Conclure sa première notification aux victimes par « Vous n'avez aucune démarche à accomplir » alors que 19 millions de dossiers étaient peut-être dans la nature : difficile de faire pire en matière de communication de crise. La CNIL pourrait d'ailleurs sanctionner cette gestion de l'incident.
3. L'âge du suspect ne doit pas minimiser la gravité. 15 ans, une connexion internet, des forums spécialisés — c'est tout ce qu'il a fallu pour mettre à nu les données administratives de 19 millions de citoyens. Le vrai problème n'est pas le hacker, c'est la faille béante qui l'attendait.
Notre avis | e-cartegrise.info
En tant que prestataire habilité par le ministère de l'Intérieur pour les démarches d'immatriculation (numéro SIV : 215531), nous partageons pleinement l'inquiétude de nos clients. Vos titres restent valides, et les démarches en cours ne sont pas affectées — c'est confirmé officiellement.
Mais cette affaire est un rappel brutal : la sécurité de vos données personnelles ne doit jamais être considérée comme acquise, même chez l'État. Restez vigilants, appliquez les bons réflexes, et n'hésitez pas à nous contacter si vous avez des questions sur votre démarche en cours.
Les démarches de carte grise sur notre plateforme restent sécurisées et opérationnelles. Notre équipe reste disponible pour vous accompagner.