Une fuite de données d’une grosse ampleur à l’ANTS met en péril les données de 19 millions de Français potentiellement concernés par une attaque informatique menée il y a quelques jours sur la plateforme.
J’aimerai savoir si, au-delà de constater et annoncer que nos données sont volées, le ou les fonctionnaires (ici en tous les cas) responsables permettant ces intrusions sont sanctionnés ?
Les compétences informatiques sont elles uniquement du côté des hackers qui , eux, trouvent des failles alors que ceux qui développent et gèrent ces outils ont des oeillères et de la marmelade en guise de neurones ?
C’est tous les jours ces annonces et les pauvres victimes n’ont qu’à subir …
8 « J'aime »
La société prestataire qui a le contrat de développement de ce portail va sûrement avoir des comptes à rendre oui. Voir elle pourrait bien ne plus avoir de contrat du tout dans un avenir assez proche.
Maintenant je vais me faire un petit peu l’avocat du Diable mais il faudrait aussi voir comment le projet a été mené. Parce que des clients / donneurs d’ordre / fonctionnels (en opposition aux techniques) qui trépignent et poussent à sortir un truc au plus vite au risque de louper des étapes importantes c’est loin d’être rare.
6 « J'aime »
La question des sanctions est totalement secondaire ici. Avec la multiplication des fuites de données provenant d’institutions publiques, nous sommes face à un véritable scandale d’État. Cela doit impérativement conduire à des mesures concrètes, aussi bien sur la sécurisation des systèmes que sur la protection effective des citoyens.
Il faut bien comprendre l’enjeu : en cas d’usurpation d’identité, le citoyen se retrouve seul face à la justice. Pourquoi ? Parce que la charge de la preuve est inversée de fait : c’est à la victime de prouver qu’elle n’est pas l’auteur des crédits souscrits ou des délits commis en son nom. Ce combat peut ruiner une vie entière, entraîner des poursuites et des situations judiciaires dramatiques alors que la faille initiale vient de l’État.
Il est d’ailleurs inutile de se satisfaire des amendes infligées aux organismes publics. C’est une hypocrisie totale : ces amendes sont payées avec l’argent public, elles ne font que passer d’une poche de l’État à une autre, sans jamais réparer le préjudice subi par les victimes ni inciter à une réelle réforme structurelle.
À mon sens, il faut arrêter de gesticuler et engager un chantier titanesque, mais désormais vital : le reset complet du numéro de sécurité sociale et la création d’une identité numérique basée sur un modèle « Zero Trust » (ne jamais faire confiance, toujours vérifier).
Certains pays montrent déjà la voie. L’Estonie, par exemple, est une référence mondiale avec son système X-Road et une carte d’identité cryptographique qui permet de contrôler l’accès à ses données en temps réel.
L’État français va-t-il enfin prendre ses responsabilités, ou continuera-t-il de laisser nos données s’évaporer en se contentant de payer des amendes symboliques à des citoyens déjà épuisés par des années de procédures ?
11 « J'aime »
En cas d’usurpation d’identité, il serait bon de savoir si l’on peut se retourner contre l’Etat …
1 « J'aime »
Beaucoup tirent à boulets rouges sur l’état français (bon, ici, c’est peut être justifié : si c’est un prestataire externe, c’est une question de compétences réciproques, à savoir est ce que le donneur d’ordre avait les compétences ultra techniques ou pas, justement vis à vis du fait qu’il y avait un prestataire externe…).
Cependant, on assiste depuis quelques temps (au bas mot 2 ans), une quantité d’agressions tech et sociologiques assez vertigineuses comparé à avant la guerre en Ukraine. Tout ne peut pas se régler en un claquement de doigts.
Il n’y a qu’à voir l’actualité sur Windows et BlueHammer.
1 « J'aime »
Oups !
Changer le système… l’Estonie, c’est grand comme un placard…
Tu peux toujours te retourner contre l’Etat. Nous sommes en démocratie. Tu constitues ton dossier, tu récupères tes preuves si tu y arrives, et dans dix ou quinze ans, après des dizaines de milliers d’euros de procédures, tu auras peut‑être gain de cause.
1 « J'aime »
Que l’Estonie soit petite ne change rien à la validité technique du modèle Zero Trust. Dire que c’est « trop grand pour être réparé », c’est acter que l’État abandonne définitivement 68 millions de citoyens face aux risques d’usurpation dont il est totalement responsable.
Le problème reste entier : si on ne fait rien sous prétexte que le chantier est immense, on attend simplement que les 68 millions de Français soient victimes un par un ?
2 « J'aime »
À se demander s’il ne serait pas préférable de faire garder nos données personnelles par Google, Apple ou consorts… 
Et? quelles sanctions pour l’état condamné? Quels dédommagements, après 10 - 15 ans de galères, de dépenses en avocats et de dénigrements, de vies détruites pour le citoyen usurpé/bafoué/dénigré devant des tribunaux ou les juges sont souvent juge et parti ? Rien et souvent même pas une excuse de l’état à l’issue du procès.
Exactement. C’est là que se niche le vrai scandale d’État.
Deux chantiers à mener en parallèle, pas l’un après l’autre.
Un : la refonte technique (NIR non-signifiant, EUDI Wallet imposé par l’Europe pour fin 2026, authentification cryptographique forte). Long, complexe, nécessaire.
Deux : un protocole de protection immédiat pour les victimes, qui ne dépend d’aucune refonte IT et se vote en une session parlementaire. Quatre mesures suffisent :
- Un gel d’identité préventif (credit freeze à la française), activable depuis France Identité, qui bloque toute souscription de crédit en ton nom sans authentification forte.
- Une présomption légale d’usurpation quand la victime figure dans une fuite publique avérée. Aujourd’hui, tu arrives au tribunal avec la notification officielle de l’ANTS ou de France Travail : le juge ne la prend pas automatiquement en compte, c’est à toi de reconstruire le lien.
- Une responsabilité solidaire de l’organisme source de la fuite dans le préjudice subi.
- Un fonds d’indemnisation dédié, alimenté par les amendes CNIL fléchées vers les victimes — pas vers le budget général.
Le premier chantier demande dix ans. Le second, dix-huit mois et une loi. L’État choisit de ne faire ni l’un ni l’autre, et se cache derrière l’ampleur du premier pour ne pas traiter le second. Cet arbitrage-là est le vrai scandale.
1 « J'aime »
Bon je vois comme d’habitude dans les commentaires les éternels habitués appeler aux fourches etc. mais comme il s’agit plus chez eux d’un réflexe pavlovien on ne s’en étonnera pas ^^
Mais ce qui m’inquiète plus c’est la différence de traitement avec au hasard le monde qui ne donne pas du tout le même sentiment. Traitement au conditionnel, etc.
@Kurton je crois que t’as tellement raison que c’est encore difficile pour pas mal de gens de réaliser qu’on est en guerre. Mais bon il faut bien gueuler pour recevoir la becquée…
Edit : après consultation même la source cité par clubic est plus prudente que Clubic…
Suivant le type d’identifiant unique utilisé (on croise les doit pour un truc pas incrémentiel ^^) récupérer les donnés avec l’ attaque déclarée par l’auteur supposé c’est pas forcément évident.
Peut être qu’on peut attendre de savoir ce qu’il s’est vraiment passé et l’ampleur du truc avant de proposer des sanctions. Je dis ça juste pour ceux qui veulent avoir l’air raisonnable hein. Si c’est pas votre truc je comprends
Je pense que ce type de loi pourrait être étendu à toute société où il à été démontré qu’une fuite de données personnelle à été identifiée. Je pense à toutes ces sociétés privées qui travaillent pour/avec l’état (Ex : cartes crises,…)
Un truc qui m’embête un peu aussi c’est l’utilisation de « sensible » à tout bout de champs. Alors j’adore le sensationnel (enfin surtout dans mes séries, télé réalité ou cinéma hein) mais une donnée sensible c’est https://cnil.fr/fr/definition/donnee-sensible
Et « hautement sensible » j’ai aucune idée de ce que c’est 
Mais bon je comprends et je compatis. Faut bien manger.
La seule personne qui peut vraiment sauter c’est le DSI et encore… normalement dans n’importe qu’elle société un minimum structurée il y’a le DSI, le manager, l’équipe IT, pour la partie administration. Ensuite pour les projets il y’a un chef de produit, chef de projet et ingénieurs qui executent le code.
Le problème n’est pas le technicien ou l’ingénieur, mais la direction, le management qui néglige la maintenance et la sécurisation de leur système d’informations. Donc dans le meilleur des cas le responsable d’équipe ou DSI sera sanctionné voir licencié si c’est une réelle faute grave qui ne respecte pas la charte informatique (s’il y’en a une…), ou sinon juste rien du tout.
Car la plus part du temps les sociétés prennent une assurance concernant les données, l’assureur indemnise ou non le client selon la gravité et s’il y’a eu négligence…
Je parle d’expérience car je suis ingénieur sécurité, systèmes et réseaux justement, et j’ai connu des cas similaires.
Le problème c’est que la on touche un secteur public qui à la fois stock des données privées et qui est donc légalement responsable de la sécurité de ces données. Dans n’importe qu’elle boite privée, un client aurait porté plainte contre la boite qui s’est faite hackée.
Sauf que la vu que c’est public, y’a un flou énorme. Va y’avoir une enquête sauf que ce ne sera pas neutre car c’est une administration publique qui va enqueter sur les fautes d’une autre administration publique… donc 99% de chance qu’ils se couvrent entres eux…
Il faudrait monter un recourt collectif citoyen, mais pour cela il faut un avocat, bref pas à la portée de tous…
La question est maintenant: qu’est ce qui n’a pas encore été piraté comme instances gouvernementale de ce pays? Vive le tout numérique en tous cas ^^
Rien que le fait que 19 millions d’accès à des fiches différentes aient pu être acceptés depuis le même accès, c’est surréaliste.
Je crois que l’Etat n’a pas pris la mesure des enjeux. Par exemple pour la facturation électronique : la DGFIP impose actuellement le choix d’un prestataire agréé (une « plateforme »). Pour toute aide (en dehors des faux Q&A visant juste à vous dire qu’il faut y passer) il fournit une simple liste de sociétés privées agréés, sans tarifs (pour ce service privatisé du fait que l’éponge a été jetée au sujet d’un outil public), et sans même les adresses des sites web (ah mais on a l’adresse postale du siège social ! C’est pratique pour envoyer des courriers recommandés). Résultat : des dizaines de milliers de petits entrepreneurs obligés de suivre des liens donnés par des moteurs de recherche susceptibles d’être détournés, pour arriver sur des sites vantant une fausse gratuité parfois (« sans surcout » n’est pas « gratuit »), et, évidemment ensuite, obligés de transmettre au moins (dans le cas où un site légitime a été trouvé) un scan recto-verso de la CNI. Dans les cas plus défavorables, j’imagine qu’il est facile de convaincre de signer une autorisation de prélèvement (pour le règlement des factures !).
On donne donc toute la base contribuable non-adhérante d’organismes type AGA/comptable (et il y en a beaucoup puisque tout avantage fiscal a été supprimé comme par hasard récemment) en pâture à qui veut.
Bref, les services public montrent un écart de plus en plus grand entre ce qu’ils demandent (rigueur, sécurité) et ce qu’ils savent faire eux-mêmes (ou font faire par leur négligence).
Sans parler de leur site digne de geocities, avec des choses qui ne fonctionnent pas toujours (contrats de prélèvement à l’échéance par exemple : parfois ça rate).
Je me demande ce qu’ils n’ont pas compris à la phrase si simple « Pas de nouvelle contrainte sans fournir l’outil » ?
Comment peut-on être aussi scandaleusement léger sur la désignation de prestataires, et en même temps prétendre agréer quoi que ce soit comme plate-forme ?
Comment peut-on ainsi imposer la présence de nouveaux tiers communs dans des milliers de workflow de facturations ? C’est de flux d’argent qu’il s’agit aussi. Ça se détourne !
Est-ce que tout le monde a bien compris que c’était aussi sérieux que le système bancaire ?
Ils sont les premiers destinataires des comptes mais ils n’ont jamais fourni ne serait-ce qu’un outil pour faire une simple comptabilité recette-dépense.
1 « J'aime »
Depuis la transposition de NIS2 (loi « résilience » 2024-2025), l’ANSSI peut théoriquement sanctionner les organismes publics qualifiés OSE jusqu’à 10 M€ ou 2 % du budget. Ça sort du schéma « public enquête sur public » puisque l’ANSSI n’a pas le réflexe corporatiste de la CNIL. En pratique, on attend toujours la première sanction.
Sur le recours collectif : l’action de groupe existe depuis Hamon 2014, étendue aux données personnelles en 2016. Seules les associations agréées peuvent la lancer (UFC, La Quadrature du Net). Sur l’ANTS, un recours porté par la Quadrature serait logique et techniquement recevable.
Mais tout ça ne répond pas au problème structurel. Les amendes CNIL frappent des organismes publics avec l’argent public. NIS2 n’a pas encore produit de sanction réelle. L’action de groupe aboutit à une indemnisation symbolique après des années de procédure. Ces leviers sont légitimes mais dérisoires face à la mécanique de fond : 40 millions de comptes fuités par an en France, recoupement industriel sur les forums du dark web, et zéro dispositif individuel pour les victimes d’usurpation qui résulte. C’est ce deuxième volet - la protection immédiate des citoyens, indépendamment de la refonte IT - que personne ne traite.
Premier point - « attendre de savoir ce qui s’est passé ». D’accord pour cet incident précis. Peut-être 5 millions et pas 19, peut-être pas d’identifiants incrémentaux. Mais ma critique ne repose pas sur le chiffre exact de l’ANTS. Pour les lecteurs qui suivent, voici l’ordre de grandeur du cumul sur 24 mois :
Secteur public et parapublic - France Travail 43M avec NIR (5M€ d’amende CNIL), Viamedis-Almerys 33M (données santé et tiers payant), Pass’Sport 3,5M de foyers avec NIR et IBAN, ÉduConnect 3,5M d’élèves mineurs avec mots de passe en clair, Missions Locales 1,6M de jeunes, Ministère de l’Intérieur (TAJ et FPR consultés), DGFiP 1,2M d’IBAN, Cegedim-MLM 11 à 15M de patients (logiciel médical utilisé dans 3800 cabinets), Pharmacie d’Orléans 50 000 patients sur le dark web, multiples CHU et cliniques.
Secteur privé - Free Mobile 19M avec 5M d’IBAN (42M€ d’amende cumulée CNIL), SFR à plusieurs reprises, Boulanger, Cultura 1,5M, Cdiscount, Meilleurtaux, Dedalus (santé), sans compter les fédérations sportives piratées en série début 2026 (FFA 11M, plus une quinzaine d’autres), et les plateformes crypto dont Wealtio.
Cumul objectivement difficile à établir (doublons massifs entre bases, authenticité variable), mais le rapport Surfshark 2025 classe la France au premier rang mondial par habitant avec une densité douze fois supérieure à la moyenne. Le pattern est établi, l’ANTS s’y inscrit même si son ampleur exacte se révèle moindre que 19M.
Deuxième point - le terme « sensible ». L’article 9 RGPD réserve ce terme aux données de santé, opinions, orientation, biométrie. Les données ANTS n’en relèvent pas formellement. Je vais les qualifier différemment : ce sont des données identitaires régaliennes à haute exploitabilité. C’est une qualification opérationnelle, pas juridique, mais elle a un sens précis.
Ceci posé, et ce n’est plus à Hanandano que je m’adresse mais à qui veut bien lire :
L’argument « attention au phishing » que servent les communiqués officiels est devenu le cache-sexe du problème. Le phishing n’est que l’étage le plus primitif de ce qu’on peut faire avec ces données agrégées. Quelques scénarios documentés, loin du simple SMS frauduleux :
Ingénierie sociale assistée par IA. IBM rapporte qu’un email de phishing efficace peut être produit par IA en cinq minutes contre seize heures de travail humain auparavant Whaller. Avec le profil consolidé (nom, NIR, adresse, date des dernières démarches, IBAN), un LLM génère en secondes un appel crédible : « Madame Martin, service fraude de votre banque, je vois un prélèvement inhabituel de 237€ de la MAAF reçu ce matin, pouvez-vous confirmer ? ». Taux de succès sans commune mesure avec le phishing générique.
Deepfake vocal pour contournement d’authentification bancaire. Les centres d’appels des grandes banques et institutions financières sont actuellement submergés par une vague d’appels frauduleux utilisant la technologie de clonage vocal dans le but de pirater les comptes des clients et d’effectuer des transactions frauduleuses IBM. Quelques secondes de voix publique (vidéo LinkedIn, message WhatsApp vocal relayé, podcast) suffisent. Coût d’un clone vocal : moins de 5€. Cas documentés : 220 000€ volés à une filiale britannique en 2019, 25 millions de dollars chez Arup en 2024, 24M€ à Hong Kong la même année.
SIM swapping après recoupement. Avec NIR + adresse + date de naissance + numéro de téléphone issus de fuites croisées, l’attaquant se présente chez l’opérateur en se faisant passer pour toi et demande un transfert de ligne vers une nouvelle SIM. Dès que c’est fait, tous les SMS d’authentification (banque, crypto, impôts) arrivent chez lui. Le compte bancaire, puis les comptes d’exchange crypto, tombent en quelques heures.
Usurpation administrative cascadée. Dossier consolidé en main, l’attaquant demande un acte d’état civil en mairie par correspondance (c’est un droit), reçoit le document officiel, l’utilise pour obtenir un duplicata de CNI, puis s’en sert pour ouvrir des comptes dans des néo-banques avec KYC léger. Chaque étape semble banale, l’enchaînement est dévastateur. Cabinet MCE avocat documente précisément ces cas.
Fraude au crédit industrialisée. Signature électronique « avancée » (pas qualifiée) sur un site de crédit conso en ligne, avec justificatifs générés par IA à partir du profil consolidé (faux bulletins de salaire cohérents avec l’historique France Travail, faux avis d’imposition cohérents avec l’adresse). Le crédit est accordé, l’argent décaissé sur un compte mule, tu découvres la dette six mois plus tard quand un huissier frappe. Jurisprudence TJ Vannes, TJ Grenoble, CA Versailles, CA Rennes : l’inopposabilité fonctionne, mais encore faut-il pouvoir aller en justice.
Fraude locative. Dossier complet permet de se porter caution ou signataire d’un bail à ton nom. Tu découvres la chose quand les impayés de loyer se traduisent en saisies sur tes comptes ou ton salaire, après jugement par défaut puisque les convocations étaient envoyées à la fausse adresse.
Fraude à la crypto. IBAN + identité + accès boîte mail (après credential stuffing) permet d’ouvrir un compte sur une plateforme centralisée (Binance, Coinbase, ou française type Coinhouse), d’y transférer des fonds, puis de les retirer en crypto anonymisée. Irréversible.
Renseignement étranger. 40 millions de Français dans des bases consolidées, c’est le rêve de n’importe quel service de renseignement hostile. Identification d’agents publics, profilage des élites politiques et industrielles, repérage de cibles pour approches, préparation d’opérations d’influence personnalisées. Ce n’est plus de la vie privée, c’est de la défense nationale.
Exploitation par IA générative à venir. Les bases fuitées alimentent l’entraînement de modèles capables de générer des identités synthétiques cohérentes -mélanges de vrais éléments de plusieurs personnes réelles, difficiles à détecter par les systèmes de KYC classiques. C’est déjà documenté dans le secteur assurantiel aux États-Unis.
Voilà pourquoi « méfiez-vous du phishing » est une recommandation qui, en 2026, relève de l’insulte à l’intelligence du citoyen. Le phishing est le risque visible. Le reste - SIM swap, crédits frauduleux, deepfake vocal, usurpation administrative cascadée, fraude locative, exploitation crypto, renseignement - est le risque structurel, et aucune des communications officielles de l’ANTS, de France Travail ou des autres n’en dit un mot.
2 « J'aime »