BlogDroit du numériqueProtection des données & vie privéeANTS (France Titres) : fuite de données, 19 millions de Français concernés ?ANTS (France Titres) : fuite de données, 19 millions de Français concernés ?
Le 15 avril 2026, le portail de l’Agence nationale des titres sécurisés (ANTS), également connue sous le nom de France Titres, a été victime d’une cyberattaque. Cinq jours plus tard, le ministère de l’Intérieur confirmait officiellement l’incident. Sur un forum cybercriminel, un vendeur revendique un fichier de 18 à 19 millions d’enregistrements. Les données de millions de Français ayant effectué des démarches pour leur carte d’identité, leur passeport ou leur permis de conduire pourraient être exposées.
Suis-je concerné par la fuite de données de l’ANTS ?
Si vous avez utilisé le portail France Titres (ANTS) pour renouveler ou obtenir une carte d’identité, un passeport, un permis de conduire ou un titre de séjour, vos données ont pu être exposées. L’ANTS indique que les usagers dont les données ont été dérobées seront notifiés par mail. En attendant, une vigilance accrue face aux messages suspects est indispensable.
Que s’est-il passé ?
Un attaquant a exploité une faille d’énumération sur le portail de l’ANTS : en modifiant simplement un chiffre dans une URL, il était possible d’accéder aux données d’un autre compte. Aucune technique sophistiquée n’était nécessaire. La faille a été détectée le 15 avril, mais l’annonce officielle n’est intervenue que le 20 avril. L’incident a été notifié à la CNIL et un signalement a été transmis au parquet de Paris. L’OFAC (Office anti-cybercriminalité) a été saisi des investigations.
🚨 À retenir : L’ANTS gère les démarches liées aux titres régaliens de l’État français. Une fuite sur ce portail centralise exactement les données nécessaires à une usurpation d’identité : nom, prénom, date de naissance, adresse mail, identifiants de connexion.
Quelles données ont été exposées ?
| Type d’utilisateur | Données potentiellement exposées |
|---|---|
| Particuliers | Nom, prénom, date de naissance, adresse e-mail, identifiant de connexion, identifiant unique du compte. Éventuellement : adresse postale, numéro de téléphone, lieu de naissance. |
| Professionnels | Données d’identification professionnelle (raison sociale, numéro SIREN), numéros d’habilitation et d’agrément. |
L’ANTS a confirmé que les pièces jointes transmises lors des démarches (photos, justificatifs) n’ont pas été compromises. Les données exposées ne permettent pas non plus d’accéder directement à un compte.
Quels sont les risques concrets ?
Les données volées sont suffisantes pour mener des campagnes de phishing ciblées et des attaques par ingénierie sociale. Un escroc peut se faire passer pour un conseiller ANTS, une préfecture ou un organisme bancaire avec un niveau de crédibilité élevé. La combinaison nom + date de naissance + adresse mail est aussi un levier classique d’usurpation d’identité.
👉 Le volume de 19 millions est-il vérifié ?
Pas encore. L’annonce sur le forum cybercriminel revendique 18 à 19 millions d’enregistrements. En septembre 25, une annonce similaire portant sur 10 à 12 millions de données avait été démentie par l’ANTS, qui avait pointé des incohérences et une pratique de recyclage d’anciennes fuites. Le volume réel de l’incident 2026 n’est pas encore confirmé officiellement.
Que faire si vous êtes concerné ?
- Attendez la notification par mail de l’ANTS si vous avez un compte France Titres
- Ne cliquez pas sur des liens suspects dans des e-mails, SMS ou appels se présentant comme l’ANTS ou une préfecture
- Changez votre mot de passe sur le portail ANTS et sur tout service utilisant le même identifiant
- Activez l’alerte fraude auprès de votre banque et signalez tout mouvement suspect
- Déposez plainte si vous constatez une usurpation d’identité ou une fraude
- Signalez toute tentative de phishing sur cybermalveillance.gouv.fr
En cas d’usurpation d’identité avérée, vous pouvez également saisir la CNIL et engager la responsabilité de l’ANTS pour manquement à son obligation de sécurisation des données personnelles, prévue par le RGPD (article 32).
Quels recours juridiques ?
Si vous subissez un préjudice direct lié à cette fuite (usurpation d’identité, fraude bancaire, accès non autorisé à vos comptes), plusieurs voies sont disponibles :
- Plainte pénale pour usurpation d’identité (article 226-4-1 du Code pénal)
- Plainte auprès de la CNIL pour violation de données personnelles
- Action en responsabilité civile contre l’organisme responsable du traitement (ANTS) si le manquement à la sécurité est avéré
- Recours individuel ou collectif en indemnisation du préjudice subi
Vous avez été victime d’une usurpation d’identité ou d’une fraude suite à cette fuite ? Décrivez votre situation pour être mis en relation avec un avocat spécialisé en droit du numérique.
.png)
