Il aura suffi d’un adolescent de quinze ans et d’une faille élémentaire pour que le piratage de l’ANTS expose 11,7 millions de comptes de l’Agence nationale des titres sécurisés. Le pseudonyme « breach3d » restera dans les annales de la cybersécurité publique française, moins pour la sophistication du geste que pour ce qu’il révèle sur l’état réel des systèmes d’information de l’État. Paul-Olivier Gibert, ancien délégué général de l’AFCDP et fondateur de POG Consulting, a adressé dès les premières heures une analyse lucide de l’incident. Il n’y cherchait ni sensationnalisme ni procès à charge, mais une lecture de fond : ce que la récurrence de ces accidents dit sur la relation de confiance numériqueDéfinition marketing digital, un terme utilisé en permanence et pourtant bien mal compris car mal défini entre l’État et ses citoyens.
Piratage de l’ANTS, quand l’État numérique perd sa présomption de sécurité
Une faille aussi basique qu’elle est révélatrice
La technique exploitée porte un nom barbare, « Insecure Direct Object Reference » (IDOR), mais son principe est d’une simplicité déconcertante. Imaginez un vestiaire de piscine dont les consignes seraient numérotées séquentiellement et dont la serrure accepterait n’importe quel numéro entré au clavier, sans vérifier que l’utilisateur est bien le titulaire du casier. C’est exactement le mécanisme qu’a exploité l’adolescent. En faisant varier un identifiant dans une requête, il pouvait parcourir en force brute l’ensemble des dossiers.
Podcast: Play in new window | Download (Duration: 40:16 — 24.9MB)
Subscribe: Apple Podcasts | Spotify | Android | RSS
Guillaume Poupard, ancien directeur général de l’ANSSI, a qualifié cette faille d’« agaçante » lors d’une interview sur France Culture le 28 avril 2026, précisément parce qu’elle figure parmi les premières vérifications lors de tout audit de sécurité sérieux. Paul-Olivier Gibert formule la chose sans circonvolutions : des dispositions qui auraient dû être naturelles n’ont tout simplement pas été prises.
Guillaume Poupard, ancien directeur général de l’ANSSI, a qualifié de piratage de l’ANTS d’« agaçant » lors d’une interview sur France Culture le 28 avril 2026. Image Midjourney.
Ce qui rend l’affaire plus préoccupante encore, c’est la chronologie : des alertes auraient circulé sur le dark web dès septembre 2025, soit sept mois avant les faits. Si l’État a été averti et n’a pas réagi, la question de la chaîne de vigilance interne se pose avec une acuité particulière.
Les données les plus critiques épargnées… ouf !
La bonne nouvelle, et elle existe, est que les données les plus critiques, celles liées aux documents d’identité, n’auraient pas été compromises par cette faille spécifique. Ce qui a été exposé, noms, prénoms, adresses électroniques, est néanmoins suffisant pour alimenter des campagnes de phishing ciblées et des tentatives d’usurpation d’identité. L’administrateur de l’AFCDP en sait quelque chose : victime lui-même d’une fuite chez un opérateur télécom, il a subi pendant des mois des tentatives d’escroquerie exploitant ses références bancaires et ses coordonnées. « Avec moi, ça n’a pas marché, » dit-il, avant d’ajouter que pour des personnes moins habituées à ces pratiques, les conséquences peuvent être extrêmement déstabilisantes.
Piratage de l’ANTS : une série noire qui ne doit rien au hasard
Le piratage de l’ANTS ne survient pas dans un vide. Il s’inscrit dans une série qui commence à ressembler à un problème structurel. La fuite FICOBA de janvier 2026 a exposé 1,2 million de comptes bancaires. L’attaque contre France Travail en 2024 avait touché l’ensemble des inscrits sur vingt ans, avec numéros de sécurité sociale, adresses et numéros de téléphone. ÉduConnect a subi ses propres déboires. La Commission européenne elle-même a connu un incident similaire, et il lui a fallu cinq jours pour s’en apercevoir, alors que les directives de sécurité imposent un délai de vingt-quatre heures.
Le Premier ministre Sébastien Lecornu a eu le mérite de nommer le problème clairement : les fonctions numériques des ministères ont été délaissées budgétairement, accumulant une dette technique importante. La Cour des comptes avait d’ailleurs signalé au ministère de l’Intérieur qu’il négligeait régulièrement ses investissements numériques. Ce que Paul-Olivier Gibert souligne, c’est que ce diagnostic, juste dans son principe, ne vaut que s’il est suivi d’effets réels.
80% des violations de données évitables
La CNIL, sous la présidence de Marie-Laure Denis, n’est pas plus rassurante sur ce point. Dans son rapport annuel 2025 publié le 18 mai 2026, elle estimait que 80 % des violations de données auraient pu être évitées avec trois mesures de base : des systèmes robustes, une détection d’anomalies et une hygiène numérique élémentaire.
Le secteur public représente désormais 20 % des violations de données notifiées à la Commission, contre 11 % en 2023. La progression est logique selon Paul-Olivier : les systèmes publics cumulent les failles les plus accessibles et les données les plus précieuses pour les opérations de fraude.
La question des responsabilités, ou l’art de diluer l’imputabilité
C’est là que l’analyse prend une dimension qui dépasse la technique. Un RSSI du secteur privé interrogé dans le cadre de cette affaire a résumé la situation avec une franchise brutale : « Si l’un de nos développeurs livrait en production une API exposée à une faille IDOR sur des données personnelles, il perdrait son poste dans la journée. Et moi, presque dans la même semaine. » Paul-Olivier ne prône pas l’application mécanique de cette logique au secteur public, dont le régime statutaire est fondamentalement différent du droit du travail contractuel. Mais il ne peut pas ignorer que des négligences avérées, connues parfois de longue date, ne semblent appeler aucune conséquence personnelle.
La difficulté tient en partie à l’architecture même de l’État contemporain. L’ANTS n’est pas le ministère de l’Intérieur. C’est un établissement public administratif, une entité distincte dans la longue chaîne d’agences, d’opérateurs et d’autorités indépendantes qui composent ce qu’on appelle commodément « l’État ». Un rapport sénatorial de 2024 sur l’agencification a pointé explicitement cette « dilution des responsabilités » et l’émergence d’un « État à côté de l’État » qui affecte la lisibilité de l’action publique. Quand tout le monde est responsable, personne ne l’est vraiment.
Paul-Olivier formule ce paradoxe ainsi : « l’État a une responsabilité particulière à l’égard des Français, » pour reprendre les termes employés par Marie-Laure Denis lors de la présentation de ce même rapport annuel 2025, mais encore faut-il savoir qui incarne concrètement cette responsabilité quand quelque chose se passe mal. La réponse reste troublante de flou. Ce que l’on sait, en revanche, c’est que la faille de l’ANTS était connue en interne et que rien n’avait été fait pour la corriger.
200 millions d’euros : rustine ou viatique ?
C’est précisément le risque que pointe le fondateur de POG Consulting face à l’annonce des 200 millions d’euros débloqués par Sébastien Lecornu au lendemain de l’incident. La ministre en charge du numérique avait elle-même jugé la somme insuffisante. Paul-Olivier ne conteste pas l’utilité d’un tel investissement, mais il en conditionne l’efficacité à quelque chose que l’argent seul ne peut pas acheter.
« S’il s’agit de changer une culture, ça ne se mesure pas en millions. Ça coûte des millions, mais ce n’est pas le bon mode d’évaluation. »
— Paul-Olivier Gibert
La dette technique accumulée depuis plusieurs dizaines d’années dans les systèmes d’information publics ne se solde pas avec un chèque. Elle suppose d’abord une prise de conscience, à tous les niveaux de décision, de l’importance stratégique et démocratique de ces systèmes. Sans cette conscience préalable, les crédits seront absorbés par des opérations de communication ou des audits partiels, sans transformation durable.
Le rapport annuel 2025 de la CNIL le dit clairement : la plupart des problèmes recensés ne relèvent pas d’attaques d’une sophistication extrême. Ce sont des postures de sécurité élémentaires qui n’ont pas été adoptées. Le vrai défi n’est donc pas financier en première instance. Il est culturel et managérial.
Piratage de l’ANTS : la culture comme angle mort
C’est peut-être là le point le plus inconfortable de l’analyse. Paul-Olivier Gibert observe qu’on n’a jamais vu un directeur des systèmes d’information accéder à la direction d’une administration centrale. On a vu des directeurs d’administration centrale devenir ministres. Le numérique reste, dans la culture administrative française, un domaine technique subordonné, géré par des spécialistes que les décideursComportement de l’acheteur en B2B : Internet et réseaux sociaux ont bouleversé le comportement de l’acheteur en B2B qui se rapproche du B2C ne comprennent pas vraiment et dont ils sous-estiment structurellement les alertes.
Dans les entreprises privées, la compréhension des enjeux liés à l’activité technique du métier est (un peu plus) intégrée à la culture managériale. Elle ne l’est pas dans les administrations d’État. Ce fossé culturel explique en partie pourquoi des décideurs publics de haut niveau ne visualisent pas concrètement les conséquences d’une faille de sécurité informatique. La cybersécurité reste pour eux un « détail technique » dont ils ne mesurent l’importance qu’une fois l’incident survenu.
Pour ma part, je note que la réforme annoncée par le gouvernement, avec la fusion de la DINUM dans un ensemble institutionnel remanié, soulève davantage de questions qu’elle n’en résout.
Changer les noms ne change pas les cultures. La vraie question est de savoir si ces restructurations s’accompagneront d’une modification des modes de travail et de recrutement, sans oublier la valorisation des compétences numériques au sein de l’État. Et, à mon humble avis, il reste à savoir si les responsables opérationnels seront désormais évalués sur leur performance en matière de sécurité des données au même titre que sur leurs résultats habituels.
La confiance numérique et le parallèle du consentement à l’impôt
L’angle conceptuel que Paul-Olivier Gibert introduit dans ce débat mérite qu’on s’y attarde. Le consentement à l’impôt, concept forgé au XIXe siècle pour qualifier l’acceptation par les citoyens de leur participation au financement de l’État, trouve aujourd’hui un pendant numérique. Dans une société de plus en plus digitalisée, les citoyens confient à l’État, de manière obligatoire et non négociable, un volume croissant de données personnelles sensibles. En échange, ils attendent une protection de niveau comparable à ce qu’offrent les acteurs privés de référence.
Ce parallèle est plus pertinent qu’il n’y paraît. Un opérateur télécom qui laisse fuire des données bancaires s’expose à la défiance de ses clients, qui peuvent se tourner vers un concurrent. L’ANTS, elle, est en situation de monopoleLa notion même de marché B2B ou B2C est au cœur de la démarche marketing. Un marché est la rencontre d'une offre et d'une demande absolu. On n’a pas le choix de l’interlocuteur pour renouveler un passeport ou un permis de conduire.
Ce monopole crée une responsabilité spécifique et renforcée. Comme l’administrateur de l’AFCDP le formule avec une ironie contenue : on peut changer d’opérateur télécom, mais changer de nationalité pour éviter l’ANTS, c’est une autre affaire (en substance).
Ce que l’on peut appeler la « réassurance numérique » des citoyens vis-à-vis de l’État n’est donc pas une exigence excessive. C’est la contrepartie naturelle d’un État qui a fait du numérique le canal quasi exclusif de ses démarches administratives. Et c’est d’autant plus vrai que la numérisation de l’État a, par ailleurs, produit des résultats tangibles : Paul-Olivier lui-même note que l’expérience utilisateur de l’ANTS pour le renouvellement d’un passeport est « plutôt bonne. » Le problème n’est pas la numérisation en soi, même si elle exclut une partie des citoyens les moins à l’aise avec les outils digitaux. C’est la dissociation entre l’investissement dans l’expérience utilisateur et celui dans la sécurité sous-jacente.
Souveraineté numérique : des discours et des actes
La France se positionne régulièrement en championne de la souveraineté numérique européenne, brandissant la menace des GAFAM à la manière d’un étendard. Ce discours a une part de légitimité. Mais le piratage de l’ANTS l’interroge directement. On ne peut pas prétendre défendre la souveraineté numérique des citoyens face aux géants américains tout en laissant proliférer des failles qu’un lycéen peut exploiter depuis son salon.
Le paradoxe est d’autant plus cinglant que les critiques adressées aux GAFAM concernent souvent leur usage des données personnelles. Quand il s’avère que l’État protège moins bien ces mêmes données que les plateformes qu’il dénonce, le registre de la souveraineté perd une part substantielle de sa crédibilité. Paul-Olivier Gibert ne se prononce pas sur le classement international de la France en matière de cybersécurité publique. Ce qui l’intéresse, c’est la trajectoire. Et la trajectoire actuelle n’est pas bonne.
Reste un facteur d’espoir structurel. Sur le front de l’IA, contrairement à ce qui s’est passé avec les révolutions industrielles précédentes, la messe n’est pas encore dite. Mistral représente une structure crédible et solide qui peut exister dans cet écosystème sans nécessairement rivaliser en taille avec les acteurs américains. Ce que Paul-Olivier retient, c’est la leçon inverse de celui qui bat en retraite sans savoir qu’il n’est pas poursuivi : agir ici et maintenant, sans attendre d’avoir perdu davantage de terrain.
Piratage de l’ANTS : l’État numérique se juge sur ses actes
Paul-Olivier Gibert conclut avec une formule qu’il adresse directement aux décideurs publics : ils sont désormais attendus sur le bon usage du numérique et la protection des données au même titre que sur leurs résultats dans leur domaine habituel de compétence. Ce n’est plus une dimension optionnelle. C’est une composante à part entière de la responsabilité publique.
L’affaire ne sonne pas le glas de la transformation numérique de l’État, qui apporte des bénéfices réels aux citoyens, y compris aux plus fragiles. Paul-Olivier rappelle l’exemple de personnes aphasiques pour qui la possibilité de communiquer par écrit sur un écran a représenté une libération. La numérisation apporte plus qu’elle ne retire. Mais elle crée des vulnérabilités nouvelles que l’État n’a pas encore appris à gérer avec la rigueur qu’elles exigent.
Ce que je retiens de cet échange et de cet événement
Rejeter la faute sur « l’État » abstrait revient à n’accuser personne, puisqu’une collectivité ne peut être rendue responsable d’une négligence individuelle ou managériale identifiable. Or des négligences identifiables, il y en a ici manifestement. Des alertes circulaient depuis septembre 2025. La faille était connue. Rien n’a été fait.
Dans le secteur privé, cela s’appelle une faute grave. Dans la sphère publique, cela s’appelle un dysfonctionnement, et le résultat prévisible d’une telle immunité de fait, c’est qu’on finit par jeter de l’argent sur le problème plutôt que d’en traiter les causes réelles. Les 200 millions annoncés peuvent servir d’amorce, à condition d’être accompagnés d’une attribution claire des responsabilités et d’une évaluation des dirigeants publics sur leur performance en matière de sécurité. Sans cela, on rebaptisera des institutions, on organisera des colloques, et on sera à nouveau surpris qu’un adolescent mal intentionné ait trouvé une faille que personne n’avait jugé urgent de corriger.
Avec l’arrivée de l’IA dans le domaine cyber, ces fautes-là ne sont plus admissibles : le niveau de la menace va sans aucun doute possible s’élever de manière considérable.
L’État numérique, pour reprendre les termes du communiqué de Paul-Olivier Gibert, doit établir la confiance par la preuve. On jugera aux actes.
À propos de Paul-Olivier Gibert
Paul-Olivier Gibert est fondateur de POG Consulting, cabinet spécialisé dans la stratégie numérique, la gouvernance des données et la conformité RGPD. Il a été pendant plusieurs années délégué général de l’AFCDP (Association française des correspondants à la protection des données personnelles), dont il est aujourd’hui administrateur et ancien président du Conseil scientifique. Auteur et conférencier reconnu sur les enjeux de protection des données, de souveraineté numérique et de cybersécurité, il intervient régulièrement auprès d’organisations publiques et privées en France et en Europe.
Ancien cadre dirigeant dans le secteur des services numériques, il a conduit de nombreuses missions de transformation et de mise en conformité RGPD pour des administrations, des entreprises du CAC 40 et des organismes de sécurité sociale. Son expérience au carrefour du public et du privé lui confère une lecture particulièrement affinée des tensions entre impératif de modernisation, lacunes structurelles de l’administration et montée du niveau des menaces cyber.
