Une agence gouvernementale française confirme une compromission alors qu’un hacker propose de vendre des données

 (bleepingcomputer.com)
1 points par GN⁺ 6 일 전 | 1 commentaires | Partager sur WhatsApp
  • Un incident de sécurité a été détecté sur le portail ANTS, qui gère les pièces d’identité et documents d’immatriculation en France, et des données de comptes personnels et professionnels pourraient avoir été exposées
  • Les informations confirmées comme potentiellement exposées incluent les identifiants de connexion, nom et prénom, e-mail, date de naissance ainsi qu’un identifiant de compte unique ; pour certains utilisateurs, l’adresse, le lieu de naissance et le numéro de téléphone peuvent aussi être concernés
  • L’agence a indiqué que ces informations ne permettent pas à elles seules un accès non autorisé au portail, mais elles peuvent être exploitées pour des attaques de phishing et d’ingénierie sociale ; il faut donc se méfier des contacts suspects par SMS, téléphone ou e-mail
  • Une mise à jour publiée le 24 avril a confirmé que 11,7 millions de comptes étaient affectés, et la procédure de notification des personnes concernées est en cours
  • Sur un forum de hackers, breach3d a revendiqué l’attaque et mis en vente jusqu’à 19 millions d’enregistrements, mais au moment de l’article, les données n’avaient pas encore fait l’objet d’une fuite massive

Confirmation de la compromission et étendue de l’impact

  • France Titres, c’est-à-dire ANTS, a indiqué avoir détecté un incident de sécurité sur le portail ants.gouv.fr, et que des données de comptes personnels et professionnels pourraient avoir été exposées
    • L’organisme gère en France les documents officiels d’identité et d’immatriculation, notamment les permis de conduire, la carte nationale d’identité, les passeports et les documents d’immigration
    • L’attaque a eu lieu la semaine dernière, l’enquête est toujours en cours, et le nombre de personnes exposées n’a pas été communiqué
  • ANTS a annoncé avoir détecté l’incident le mercredi 15 avril 2026, et mène actuellement la procédure de notification des personnes dont l’impact a été confirmé
    • Annonce d’ANTS pour consulter les détails de l’incident et les recommandations de vigilance
  • Une mise à jour publiée le 24 avril a confirmé que le nombre de comptes affectés s’élevait à 11,7 millions

Données potentiellement exposées

  • ANTS a indiqué que plusieurs types d’informations de compte pourraient avoir été exposés
    • Identifiant de connexion
    • Nom et prénom
    • Adresse e-mail
    • Date de naissance
    • Identifiant de compte unique
  • Pour certains utilisateurs, des données d’identification personnelle supplémentaires pourraient aussi être concernées
    • Adresse postale
    • Lieu de naissance
    • Numéro de téléphone
  • ANTS précise que ces seules informations ne permettent pas un accès non autorisé au portail électronique ANTS
    • En revanche, ces mêmes données peuvent être exploitées pour du phishing et des attaques d’ingénierie sociale, ce qui impose une vigilance particulière

Information des utilisateurs et réponse apportée

  • ANTS ne demande aucune action particulière aux utilisateurs, mais appelle à une vigilance accrue face aux messages suspects ou aux contacts inhabituels se faisant passer pour l’organisme
    • Cela inclut les SMS, les appels téléphoniques et les e-mails
  • Dans le cadre de la réponse à l’incident, l’organisme a notifié la CNIL, le parquet de Paris et l’agence nationale de cybersécurité ANSSI
    • Il rappelle également que la vente ou la diffusion de ces données est illégale

Revendication de vente par le hacker

  • Le 16 avril, sur un forum de hackers, un acteur malveillant nommé breach3d a revendiqué l’attaque contre ANTS et affirmé détenir jusqu’à 19 millions d’enregistrements
  • Cet acteur affirme que les données volées comprendraient noms, coordonnées, données de naissance, adresses domiciliaires, métadonnées de compte, genre et statut marital
  • Les données ont été publiées dans une annonce de vente pour un montant non divulgué ; au moment de l’article, il n’y avait donc pas encore de fuite massive
  • BleepingComputer a contacté ANTS au sujet de ces affirmations, mais n’avait pas reçu de réponse au moment de la publication

À lire aussi

1 commentaires

 
GN⁺ 6 일 전
Commentaires sur Hacker News

  • Si les informations divulguées se limitent plus ou moins au nom, à la date de naissance, à l’adresse et au numéro de téléphone, ce n’est même plus nouveau
    Ces 2 ou 3 dernières années, mes données ont déjà fuité plusieurs fois, et tant que les entreprises ou les administrations ne risquent guère plus qu’un simple mail d’excuses, rien ne changera jamais

    • Pour commencer, l’État ne devrait pas imposer le KYC à chaque acte anodin
      Je ne vois pas pourquoi une vérification d’identité est nécessaire jusque pour acheter des bananes ou se faire livrer un repas, et puisque les fuites sont inévitables, le KYC lui-même ressemble à une pratique encore plus illégitime
      À l’origine, le prétexte était la lutte contre la fraude et le blanchiment d’argent, mais en pratique ça n’a pas vraiment marché ; il suffit de chercher "largest money laundering settlements" pour tomber sur de grandes banques et des fraudes liées aux cryptomonnaies
    • Les amendes ont peu d’effet sur les administrations
      Au final, c’est payé avec l’argent des contribuables et ça ne crée aucun vrai incitatif ; il vaudrait mieux une agence publique dédiée qui mène des pentests agressifs contre les autres administrations, les hôpitaux, les banques, les infrastructures et les grandes entreprises, avec des salaires au niveau du privé
      Il faudrait imposer des délais légaux pour corriger les problèmes, avec de vraies sanctions : amendes pour le privé, rétrogradation des responsables infosec dans le public
      C’est largement préférable aux check-lists de conformité ou aux audits façon KPMG : des hackers soutenus par l’État qui tentent de pénétrer les systèmes comme de vrais attaquants seraient bien plus efficaces
      En France, vu le nombre de piratages touchant l’État à différents niveaux ces douze derniers mois, c’est encore plus urgent
    • Il ne faut pas oublier un an de surveillance de crédit gratuite
      J’ai reçu tellement d’offres de ce genre que, si je m’inscrivais à toutes, j’aurais surtout l’impression de disperser deux fois plus mes données personnelles chez des entreprises qui finiront elles aussi par se faire pirater
    • Voir encore une fuite de ce genre me fait reconsidérer le local-first software, et ça me fait aussi penser à https://lofi.so
      Si on veut réduire les fuites massives, il faut d’abord remettre en cause au niveau de l’architecture l’idée même de ces immenses dépôts de données centralisés
      Même si l’État doit conserver une autorité centrale, on peut réfléchir à des modes de stockage qui réduisent le rayon d’impact
      Bien sûr, beaucoup diront que ce n’est pas faisable, mais si l’alternative dominante aujourd’hui se résume au désespoir et à l’impuissance, alors le progrès devra peut-être venir d’innovations périphériques
    • Même pas une surveillance de crédit gratuite, pas même pour un mois ?

  • J’ai reçu aujourd’hui un mail disant que j’étais concerné
    Ironiquement, les mêmes données avaient déjà fuité il y a quelques années via l’agence des allocations chômage, donc dans mon cas ça ne change rien
    C’est un peu idiot de ma part de ne pas avoir supprimé ce compte après avoir retrouvé un emploi

    • Pour archivage, ce serait bien d’avoir une copie du mail
      Comme ça, il finira aussi dans les jeux de données d’Anthropic et d’OpenAI :)
    • Je me demande si ça vient de ANTS
      Moi, je n’ai encore rien reçu

  • Et malgré ça, on continue de pousser l’idée d’une identité centralisée pour Internet, ce qui est absurde
    Ça ne fait que créer un énorme honeypot pour les groupes de hackers du monde entier et les entreprises d’IA, alors qu’en pratique on voit une fuite tous les deux mois ou presque

  • Si l’État traite mes données personnelles comme si elles n’avaient aucune valeur, je ne vois pas pourquoi je traiterais les œuvres protégées par le droit d’auteur comme si elles en avaient
    Si on veut bâtir une société de l’information, il ne faut pas oublier le groupe le plus important

    • En pratique, aller frontalement contre l’État au nom du principe a de fortes chances d’être une bataille perdue d’avance
      Même si un changement est nécessaire, il doit sûrement exister de meilleures façons de s’y prendre

  • J’ai l’impression qu’on a déjà dépassé le stade où il fallait s’inquiéter des rançongiciels ou de la protection des données
    Il faut partir du principe que les PII de tout le monde ont déjà fuité, et se concentrer davantage sur la manière de vérifier l’identité en ligne pour des choses comme les prestations publiques
    Ça fait penser aux identités numériques nationales aux Pays-Bas ou au Japon, ou encore à l’authentification biométrique en Inde, et je me demande ce que les États-Unis finiront par choisir

    • Les données biométriques sont probablement l’une des pires idées possibles, parce que ça ajoute simplement une catégorie de données susceptible de fuiter
      Elles peuvent aussi être détournées pour du suivi par caméra, donc c’est bien plus sensible, alors que ce problème pouvait déjà être résolu depuis longtemps avec des IdP fédérés et du MFA
      Il suffit de combiner quelque chose qu’on possède, comme un OTP matériel ou un jeton physique, avec quelque chose qu’on connaît, comme un SSN, un numéro fiscal ou un mot de passe ; mais les gouvernements semblent souvent préférer la biométrie parce qu’ils vont généralement à l’encontre de la vie privée des citoyens
    • En Suède, presque toutes les informations sont publiques par défaut
      Si on connaît juste le nom de quelqu’un, on peut facilement trouver son adresse, sa date de naissance, avec qui il vit, le numéro de son logement, et même s’il possède une voiture, un chien ou un abonnement mobile
      En payant une petite somme, on peut aussi consulter ses revenus
      https://mrkoll.se/person/Jan-Martin-Harris-Harasym-Snapperupsgatan-5-Malmo/uerADYuquerAmUxadYQabTAQmkyqRaQcYfrkyqRaQdYQakyqRaQcYfr
      https://www.ratsit.se/19891030-Jan_Martin_Harris_Harasym_Malmo/tGpBumnyzRN6dMSEuZjNW1zYfMRBBy1KEgzIdASYnyU
      Et pourtant, d’une manière ou d’une autre, ça fonctionne
    • Vu la direction que prennent les choses, la solution à l’américaine finira probablement par exiger un scan de la rétine
      Il faudra scanner son œil juste pour acheter un pantalon en ligne chez Target, et ces données se retrouveront sans doute sur le dark web avec mon empreinte vocale et le scan de mon permis de conduire
    • Aux Pays-Bas, il existe un identifiant unique utilisé pour tous les services publics officiels
      En pratique, c’est une structure de type username/password + MFA délivrée par l’État, et il est aussi possible de vérifier son identité en scannant avec son smartphone la puce NFC de son passeport
      En revanche, je ne vois pas très bien en quoi ça résout le problème des fuites de données
    • La France dispose déjà de plusieurs moyens de vérification d’identité en ligne
      France Connect SSO est une sorte de SSO fédéré, et il existe aussi des systèmes où la poste envoie un courrier avec code pour vérifier l’adresse et l’identité, ou demande une vérification en personne ; dès qu’on a un compte physiquement vérifié, par exemple fiscal ou de sécurité sociale, on peut se connecter à d’autres services publics
      Il a aussi été proposé une application qui lit la puce NFC d’une pièce d’identité physique et compare les données biométriques avec un selfie pour l’authentification

  • Ce qui est particulièrement ironique, c’est qu’à chaque fois qu’on crée ou modifie un document, par exemple en ajoutant une nouvelle mention sur le permis, on nous demande toutes les copies de pièces d’identité imaginables, pour ensuite nous dire qu’ils ont quand même fait fuiter toutes nos données
    On pourrait penser qu’ils avaient déjà tout ça dès le départ

    • Pour vérifier l’identité de quelqu’un, il faut forcément présenter une pièce d’identité et consulter le système
      Donc la procédure en elle-même n’a rien d’étrange, et je ne comprends pas très bien le sens du commentaire initial

  • 19 millions de Français, j’en fais partie

  • L’ancienne bureaucratie avait quand même certains avantages
    Il était bien plus difficile de provoquer ce genre de fuite massive, et même quand ça arrivait, la valeur des données était bien moindre
    Ce système reposait aussi sur des personnes chargées de faire respecter les procédures et d’empêcher la fraude, ce qui soutenait d’une certaine façon la participation démocratique
    Puisqu’on savait depuis longtemps que ces systèmes finiraient par être compromis, il faut désormais les concevoir en partant du principe suivant : "que faire pour protéger les personnes et les institutions quand cela se produit ?"
    Si l’on continue malgré tout sur cette voie, que ce soit pour la commodité, la surveillance ou l’autoritarisme, alors il faut préparer sérieusement les scénarios post-intrusion

  • Il est aussi curieusement intéressant que cela arrive juste après que l’on s’est vanté de pouvoir migrer facilement les systèmes depuis Microsoft et les entreprises américaines
    Peut-être que l’an prochain sera enfin l’année du desktop Linux

  • Je me demande s’il n’existe pas un moyen d’injecter massivement assez de bruit pour rendre ce type de données inutilisable
    Je me demande si les LLM pourraient aider à ça

    • Si la question est sérieuse, la réponse est non
      La base de données source faisant autorité a déjà été compromise, donc les attaquants savent quel est le vrai jeu de données, et ils peuvent simplement ignorer le bruit injecté depuis l’extérieur