Le 22 janvier 2026, la CNIL condamne France Travail à 5 millions d'euros pour des failles de contrôle d'accès ayant exposé 43 millions d'identifiants. Le 15 avril 2026, l'ANTS subit une intrusion exploitant une faille de contrôle d'accès de même nature. Le ministère de l'Intérieur attend cinq jours avant de rendre l'incident public. Ces trois données coexistent dans les archives des institutions françaises.
Le 20 avril 2026, le ministère de l'Intérieur confirme que l'Agence nationale des titres sécurisés a détecté le 15 avril un incident de sécurité sur moncompte.ants.gouv.fr. La faille exploitée est de type IDOR (Insecure Direct Object Reference). Un attaquant modifiait un identifiant dans l'URL pour accéder aux données d'un autre utilisateur. Pas de zero-day, pas de cryptanalyse avancée. Une variable non contrôlée dans une requête HTTP. Le parquet de Paris a reçu un signalement de l'ANTS le 16 avril faisant état d'une mise en vente sur le darkweb des données exfiltrées. L'OFAC est saisi. La CNIL est notifiée. L'ANSSI est alertée.
Ce dossier analyse la nature de la faille, l'ampleur réelle de la compromission, et ce que la répétition de la même vulnérabilité sur les plateformes d'identité de l'État révèle sur la gouvernance de la sécurité numérique publique française.
La faille IDOR, ce qu'elle est et pourquoi elle ne devrait pas exister en 2026
L'IDOR est une vulnérabilité connue, documentée et classée dans les dix risques critiques de l'OWASP depuis des années. Son mécanisme est simple. Une application web attribue un identifiant à chaque ressource ou utilisateur. Si l'application ne vérifie pas que l'utilisateur qui demande l'accès à la ressource n'1 est bien l'utilisateur autorisé à y accéder, un attaquant peut substituer l'identifiant 1 par l'identifiant 2 dans l'URL ou la requête et récupérer les données d'un autre compte.
Sur moncompte.ants.gouv.fr, le portail qui centralise les demandes de cartes nationales d'identité, de passeports, de permis de conduire et de titres de séjour, cette vérification manquait. L'ANTS gère les titres d'identité de l'ensemble des citoyens français. Son portail contient des données que les usagers ont fourni dans le cadre de démarches administratives obligatoires (nom, prénom, date de naissance, adresse, email, numéro de téléphone, lieu de naissance pour certains comptes). Ce n'est pas une fuite de données commerciales. C'est une fuite de données d'état civil partielles sur une plateforme d'État.
Notons que l'IDOR est une vulnérabilité que tout audit de sécurité applicatif basique détecte. Sa présence sur un portail public traitant des données d'identité de millions de Français ne signifie pas que l'ANTS n'a pas été auditée. Cela signifie que la vulnérabilité n'a pas été corrigée dans les délais, ou qu'elle est apparue lors d'une mise à jour ultérieure à l'audit, ou que l'audit lui-même était insuffisant.
Les données compromises, ce que le ministère confirme et ce qu'il ne dit pas encore
Le ministère de l'Intérieur a confirmé le 20 avril les catégories de données potentiellement compromises. Identifiant de connexion, civilité, nom, prénoms, adresse électronique, date de naissance, identifiant unique de compte. Pour certains comptes, l'adresse postale, le lieu de naissance et le numéro de téléphone ont également pu être exposés.
Le ministère a précisé deux limites importantes. Les documents transmis à l'ANTS (copies de pièces d'identité, justificatifs) n'ont pas été compromis. Les données dérobées ne permettent pas l'accès illégitime aux comptes du portail.
Ce que le ministère n'a pas précisé. Le nombre exact de personnes concernées. Les estimations varient entre 10 millions selon Franceinfo et 19 millions selon des sources de veille cybersécurité dont FrenchBreaches. Cette divergence n'est pas anodine. L'ANTS compte environ 42 millions de comptes enregistrés selon les données publiques disponibles, soit la quasi-totalité de la population adulte française ayant effectué des démarches d'identité en ligne depuis 2015. Si la compromission touche entre 10 et 19 millions de profils, cela représente entre 24 et 45 % de la base totale.
La mise en vente sur le darkweb, signalée au parquet le 16 avril, implique que les données circulent déjà avant même que les personnes concernées ne soient notifiées. Cinq jours se sont écoulés entre la détection (15 avril) et le communiqué public (20 avril). Le RGPD impose la notification à la CNIL dans les 72 heures suivant la détection d'une violation susceptible de porter atteinte aux droits des personnes. Obligation respectée selon le ministère. Il n'impose pas de délai maximal pour la communication publique, mais les bonnes pratiques recommandent une transparence rapide pour permettre aux personnes concernées de prendre des mesures préventives.
France Travail, FICOBA, ÉduConnect, ANTS, la série documentée
L'incident ANTS s'inscrit dans une séquence de compromissions des plateformes d'identité numérique de l'État français documentée sur le premier trimestre 2026.
Janvier 2026. Le FICOBA, fichier national des comptes bancaires, a été rendu accessible par usurpation des identifiants d'un fonctionnaire de Bercy. Environ 1,2 million de comptes concernés selon les informations disponibles. Le vecteur. Phishing réussi sur un compte à haut privilège.
22 janvier 2026. La CNIL prononce une sanction de 5 millions d'euros à l'encontre de France Travail pour des manquements à la sécurité des données personnelles ayant conduit à la compromission de 43 millions d'identifiants. La CNIL pointait explicitement des failles dans le contrôle d'accès, la journalisation et la minimisation des données conservées.
14 avril 2026. Le ministère de l'Éducation nationale confirme une attaque ciblée ayant entraîné la fuite de données personnelles d'élèves via ÉduConnect (noms, prénoms, identifiants, établissements scolaires). Vecteur. Usurpation d'identité d'un personnel habilité survenue fin 2025.
15 avril 2026. Incident ANTS. Vecteur. IDOR, faille applicative.
D'ailleurs, chacun de ces incidents a un vecteur différent (phishing, usurpation de compte, faille applicative). Ce n'est pas une série d'attaques coordonnées exploitant la même faiblesse. C'est une série d'incidents indépendants exploitant des faiblesses structurelles différentes sur des plateformes distinctes. Ce qui est commun à tous. L'absence des contrôles de base que la CNIL elle-même exige des acteurs privés.
L'OFAC, la CNIL et l'ANSSI, ce que chaque institution peut faire
Ironiquement, l'incident mobilise simultanément le pénal (OFAC), le réglementaire (CNIL), le technique (ANSSI) et le politique (ministère), sans pilote unique. L'Office anti-cybercriminalité (OFAC) instruit l'enquête pénale sur la base du signalement de l'ANTS. Son rôle est d'identifier les auteurs de l'intrusion, de documenter la mise en vente des données sur le darkweb et d'instruire pour accès frauduleux à un système de traitement automatisé de données. La compromission d'une plateforme de l'État est passible de peines aggravées par rapport à une intrusion sur un système privé.
La CNIL, notifiée dans les délais RGPD, va examiner si l'ANTS a respecté ses obligations de sécurité au titre de l'article 32 du RGPD. Cet article impose la mise en place de mesures techniques et organisationnelles "appropriées" pour garantir un niveau de sécurité adapté au risque. La question centrale est la suivante. Une plateforme traitant des données d'identité de millions de Français disposait-elle de mesures "appropriées" si une faille IDOR y était présente ? La CNIL peut prononcer une sanction à l'encontre d'une entité publique. Elle l'a fait par le passé. Mais elle ne peut pas sanctionner l'État au même titre qu'elle sanctionne une entreprise privée. Les plafonds et mécanismes d'exécution diffèrent.
L'ANSSI (Agence nationale de la sécurité des systèmes d'information) est l'organisme de référence pour l'analyse technique de l'incident et les recommandations de remédiation. Elle n'a pas de pouvoir coercitif direct sur les agences de l'État mais ses constats informent les décisions du SGDSN et du cabinet du Premier ministre.
Ce que le dossier ne dit pas encore
Cinq angles avant toute conclusion.
Premier angle. Le biais de linéarité. Chaque incident public renforce la demande d'authentification multifacteur généralisée. L'absence de MFA est citée comme cause structurelle dans plusieurs fuites. Un déploiement généralisé du MFA sur les portails de l'État d'ici deux ans est annoncé selon la Banque des Territoires. Mais la faille ANTS était une IDOR, pas un problème de MFA. Le MFA généralisé n'aurait pas empêché cette intrusion spécifique. Il prévient les intrusions par vol de credentials, pas les failles applicatives.
Deuxième angle. La cohésion de la réponse institutionnelle. Quatre incidents sur les plateformes d'identité de l'État en moins de quatre mois mobilisent quatre institutions distinctes (CNIL, ANSSI, OFAC, ministère de l'Intérieur). Il n'existe pas de structure unifiée de réponse aux incidents qui coordonne simultanément la réponse pénale, réglementaire, technique et de communication. Chaque institution répond dans son couloir.
Troisième angle. Les limites méthodologiques du périmètre déclaré. Le ministère dit "sous réserve des investigations en cours", la fourchette 10 à 19 millions reflète cette incertitude. Le nombre définitif de profils compromis ne sera connu qu'à l'issue de l'analyse forensique. Il est possible que la compromission soit plus étendue que ce qu'annonce le communiqué initial, comme c'est fréquemment le cas dans les incidents de ce type.
Quatrième angle. L'effet de précédent de la sanction CNIL sur France Travail. La sanction du 22 janvier 2026 est une décision administrative à l'égard d'un opérateur public distinct de l'ANTS. Elle établit un standard de ce que la CNIL considère comme insuffisant en matière de contrôle d'accès. Si l'ANTS est soumise aux mêmes obligations RGPD (ce qu'elle est) et si la CNIL constate que la faille IDOR constitue un manquement équivalent, une sanction à l'encontre de l'ANTS est juridiquement cohérente. Mais une sanction prononcée par la CNIL contre une agence du ministère de l'Intérieur, trois mois après une sanction contre France Travail pour des manquements similaires, poserait une question politique que la CNIL ne peut pas ignorer.
Cinquième angle. Un scénario alternatif crédible. Les données exfiltrées sont de qualité insuffisante pour une usurpation d'identité directe. Les documents d'identité eux-mêmes n'ont pas été compromis. La campagne de phishing qui suivra est réelle mais son efficacité dépend de la vigilance des personnes notifiées. La CNIL et le ministère de l'Intérieur coordonnent une campagne d'information suffisamment rapide pour que les victimes potentielles soient en alerte avant l'envoi massif de messages frauduleux. L'ANTS corrige la faille IDOR, audite l'ensemble de son parc applicatif, et déploie le MFA dans les six mois. Ce scénario est cohérent mais suppose une réactivité institutionnelle que les incidents précédents n'ont pas démontrée.
Ce que la fuite ANTS révèle sur la souveraineté numérique de l'État
L'État français condamne les acteurs privés pour des failles de sécurité qu'il reproduit sur ses propres plateformes dans le même trimestre. Ce n'est pas une question de ressources. Les budgets de l'ANSSI et du ministère de l'Intérieur sont sans commune mesure avec ceux d'une PME condamnée par la CNIL pour les mêmes manquements.
La vraie question est celle-ci. Si les plateformes qui centralisent l'identité numérique de la population française (cartes d'identité, passeports, permis de conduire, titres de séjour) ne disposent pas des contrôles de sécurité que le RGPD impose aux boutiques en ligne, sur quoi repose la souveraineté numérique que l'État affirme vouloir construire ?
Un régulateur qui condamne les autres mais pas les siens. Un État qui impose des standards qu'il ne s'applique pas. Une faille documentée depuis des années dans les dix risques critiques de l'OWASP.
Pour un décideur en sécurité des systèmes d'information ou en politique publique numérique, la question que pose la répétition de ces incidents en moins d'un trimestre est celle de la gouvernance de la sécurité des plateformes d'État. Non pas de la réponse aux incidents, mais de leur prévention.
Cédric Pellicer