C’est une nouvelle affaire qui fragilise encore un peu plus la confiance dans la sécurité des données publiques. Le portail de l’ANTS, l’Agence nationale des titres sécurisés, chargée notamment des passeports, permis de conduire ou cartes grises, aurait été victime d’une faille majeure. En cause : une erreur technique qui aurait permis à un pirate d’accéder aux profils de millions de Français.
L’agence a bien reconnu un incident le 15 avril, évoquant un accès non autorisé à certaines données, tout en assurant aux utilisateurs qu’aucune démarche n’était nécessaire. Un message jugé plutôt rassurant… peut-être trop, au regard des éléments révélés en parallèle. Sur un forum cybercriminel, un individu affirmant avoir exploité cette faille a mis en vente une base de données contenant entre 18 et 19 millions d’enregistrements. Selon le site spécialisé FrenchBreaches, il pourrait s’agir de l’une des plus importantes fuites administratives jamais recensées en France.
Le point de départ serait une vulnérabilité dite « IDOR », pour Insecure Direct Object Reference. Concrètement, cela signifie qu’en modifiant simplement un identifiant dans une requête informatique, il devenait possible d’accéder aux données d’un autre utilisateur, sans aucun contrôle. Autrement dit, le système ne vérifiait pas si la personne avait le droit de consulter ces informations. Le problème ne réside pas uniquement dans le volume de données, mais surtout dans leur nature. La base contiendrait des informations très sensibles : noms, prénoms, adresses, numéros de téléphone, dates et lieux de naissance, ainsi que la validation officielle de l’identité par l’État. Un véritable dossier civil complet.
Un tel niveau de détail ouvre la porte à des fraudes particulièrement crédibles. Les cybercriminels pourraient, par exemple, envoyer des e-mails ou des SMS parfaitement personnalisés, ce qu’on appelle du phishing ciblé, en se faisant passer pour une administration ou un organisme de confiance. L’ANTS appelle donc à la vigilance, en rappelant de ne jamais communiquer d’informations personnelles par message. L’affaire a été signalée à la CNIL, l’autorité chargée de la protection des données, et au parquet de Paris. À ce stade, l’authenticité complète de la base reste à confirmer. Mais une chose est sûre : cette nouvelle alerte met en lumière des failles persistantes dans la cybersécurité des services publics. En attendant, les bons réflexes restent essentiels : changer ses mots de passe, surveiller ses comptes et redoubler de prudence face aux messages suspects.
Hébergé par Acast. Visitez acast.com/privacy pour plus d'informations.