En bref

  • L'Agence nationale des titres sécurisés (ANTS, ants.gouv.fr) confirme une fuite de données touchant jusqu'à 19 millions de citoyens.
  • Un acteur nommé « breach3d » vend le jeu sur forum underground depuis le 16 avril 2026.
  • Données exposées : noms complets, emails, dates de naissance, adresses postales, téléphones, identifiants uniques de compte.

Les faits

L'ANTS, rattachée au ministère de l'Intérieur et responsable des titres sécurisés français (carte d'identité, passeport, permis de conduire, titres de séjour), a détecté le 15 avril 2026 un incident de sécurité sur son portail ants.gouv.fr. L'agence a confirmé publiquement la brèche le 22 avril, après qu'un acteur opérant sous le pseudonyme « breach3d » a mis en vente le 16 avril un jeu de données revendiqué à 19 millions d'enregistrements sur un forum clandestin, soit environ un tiers de la population française adulte.

Selon les extraits publiés par l'attaquant, les données concernent à la fois les comptes particuliers et professionnels et incluent les noms complets, les dates de naissance, les adresses postales, les emails, les numéros de téléphone, les identifiants de compte uniques ainsi que des métadonnées de sexe et d'état civil. L'incident a été notifié à la CNIL au titre de l'article 33 du RGPD, et le ministère a déposé plainte au parquet de Paris au titre de l'article 40 du Code de procédure pénale.

Impact et exposition

Le dataset ne contient pas de numéros de pièce d'identité ni de pièces justificatives scannées selon les éléments disponibles, mais la combinaison identité civile + email + téléphone + adresse postale suffit à alimenter des campagnes de phishing hautement ciblées. Les autorités françaises (CERT-FR, DGSI) ont alerté sur le risque immédiat : usurpation d'identité administrative, faux avis de renouvellement de titre, fausses convocations préfectorales, SIM swapping ciblé. Le jeu n'a pas encore été diffusé gratuitement ; il reste sous offre de vente, ce qui laisse une fenêtre étroite pour prévenir les victimes probables.

Recommandations

  • Pour les citoyens concernés : vigilance renforcée sur tout email ou SMS faisant référence à l'ANTS, au renouvellement de carte d'identité ou de permis. Ne jamais cliquer sur un lien reçu par message, passer uniquement par ants.gouv.fr saisi à la main.
  • Pour les DPO et RSSI d'administrations partenaires de l'ANTS : vérifier les flux d'intégration (API, webhooks) et révoquer toute clé d'API active avant fin avril.
  • Pour les opérateurs télécoms : activer les mécanismes anti-SIM-swap et les vérifications d'identité renforcées sur les demandes de portabilité.
  • Pour les banques et fintech : ajuster les modèles de détection de fraude pour intégrer les signaux issus de ce corpus (combinaisons identité/adresse/email cohérentes mais utilisées à des fins frauduleuses).

Alerte critique

Un tiers de la population française est potentiellement concerné. Le CERT-FR a émis un bulletin d'alerte nationale. Préparez vos équipes support et cellule fraude à une vague de phishing et d'ingénierie sociale dans les 4 à 8 semaines qui viennent.

Comment savoir si mes données font partie du lot ?

Pour l'instant, aucun service officiel type HaveIBeenPwned n'a intégré le jeu. L'ANTS devrait notifier individuellement les personnes concernées au titre du RGPD dans les semaines qui viennent. Par précaution, considérez que tout détenteur d'un compte ants.gouv.fr est potentiellement exposé.

Faut-il changer de mot de passe ANTS ?

Oui. Même si les mots de passe hachés ne figurent pas dans l'échantillon vu, la bonne hygiène impose une rotation après toute brèche, surtout si le même mot de passe est réutilisé ailleurs. Activez également la double authentification si disponible.

Votre organisation est-elle préparée à une notification RGPD Article 33 ?

Ayi NEDJIMI accompagne les RSSI et DPO dans la construction de plans de réponse à incident alignés avec les obligations réglementaires françaises et européennes.

Prendre rendez-vous