ANTS: comment une simple erreur de configuration a permis à un jeune homme de 19 ans, sans connaissance technique avancée, de pirater les données de près de 12 millions de personnes

Publié hier à 19h32 - BFM Business - Kesso Diallo

Une démonstration reproduisant l'attaque qui a frappé l'ANTS en avril dernier et à laquelle BFM Tech a assisté montre que le hacker n'a eu besoin d'aucune compétence technique avancée pour dérober les données de millions de Français.

On apprend de ses erreurs. Mais parfois, l'erreur en question peut être évitée. C'est on ne peut plus vrai dans le cas de la fuite de données que l'Agence nationale des titres sécurisés (ANTS) a subi en avril. Nom, date de naissance, identifiant unique du compte... Les données de près de 12 millions de personnes se sont retrouvées dans la nature à la suite d'une attaque informatique.

Derrière cet incident de sécurité ne se cache pas un groupe de hackers lié à la Russie, à la Chine ou à la Corée du Nord, mais un jeune Français. Et contrairement à ce que l'on pourrait croire, il n'a pas eu besoin d'une méthode sophistiquée ou de connaissances techniques avancées pour subtiliser ces données. Pirater le portail de l'ANTS a même été très simple pour lui... à cause d'une erreur humaine.

Défaut de configuration

Le jeune Français est en effet parvenu à s'y introduire grâce à une mauvaise configuration du service qui aurait donc pu être évitée dès le départ. Il lui a suffi de se connecter sur le portail de l'ANTS pour accéder à son espace personnel puis... de changer un chiffre dans l'URL (l'adresse du site), a précisé Clément Domingo, hacker éthique connu sous le pseudo de SaxX.

Comme BFM Tech a pu le constater en direct lors d'une démonstration à l'occasion d'un événement organisé par Surfshark, ce petit changement a permis d'accéder aux informations d'un autre compte sur le portail.

À partir de là, il s'est servi du chatbot Claude d'Anthropic pour obtenir un script (ensemble d'instructions dans un langage de programmation pour télécharger de nombreuses données issues du site, a expliqué Clément Domingo.

Mauvaise hygiène en cybersécurité

Cette simple manoeuvre aurait pourtant dû aboutir à une page d'erreur. "Beaucoup se demandent comment ils [les responsables techniques de l'ANTS] ont pu passer à côté de ça. C'est pourtant l'un des points les plus fondamentaux à tester lors des tests d'intrusion et des audits", a insisté le hacker éthique. Cette faille de sécurité était tellement simple qu'il n'a fallu que quelques jours à l'agence pour la corriger. Et le problème, c'est qu'elle n'est pas la seule à ne pas bien s'armer pour se défendre face aux cybercriminels.

    "La plupart du temps, quand je découvre des failles de sécurité sur ces sites web, c'est parce que les gens ont une très mauvaise hygiène en matière de cybersécurité", a déploré Clément Domingo.

À cause de ce manque de protection, une simple vulnérabilité associée à l'intelligence artificielle permet à des jeunes de s'introduire dans des systèmes informatiques pour en extraire des données. "Nous avons affaire à un nouveau type de cybercriminels qui ne sont ni Russes, ni Chinois, ni rien de ce que vous pourriez imaginer. Ils sont Français", a mis en garde le chercheur en cybersécurité. Le grand retour des script kiddies, et cette fois, ils ont l'IA de leur côté.

À cela s'ajoute la numérisation des services en France, qui est plus élevée que dans d'autres pays européens. "Tout peut se faire en ligne et cette évolution prend de l'avance sur la sécurité. Les avantages liés à la commodité de tout faire en ligne et de manière centralisée (...) dépassent les investissements et les infrastructures de sécurité en France", a regretté Luis Costa, responsable de la recherche chez Surfshark.

Cela fait du pays une cible de choix pour les hackers. Alors que l'année 2026 n'est pas encore finie, 40,8 millions de comptes français ont déjà été compromis, soit... plus qu'en 2025 (40,7 millions).