L’ANTS victime d’une fuite de 11 millions de données et de huit ans d’atermoiement de l’État français ?

Publié le 24 avril 2026 à 13:30 par Magazine En-Contact

Il existe une base dédiée à la lutte contre la fraude documentaire : DOCVERIF. Créée par arrêté en août 2016, elle permet à la police et à la gendarmerie de vérifier si un numéro de CNI ou de passeport est valide, invalide ou inconnu. Pour quelles raisons l’Etat français a-t-il mis huit ans à en ouvrir l’accès, au regard des millions de fraudes ? Récemment nommée à la tête de l’ANTS, Julie Mercier va devoir mettre les bouchées doubles. Un CTO a décidé de lui faciliter le travail en suggérant une piste d'amélioration

Jérôme Létier (ancien Directeur Général de l'ANTS) dans les bureaux de la Tour Montparnasse © Edouard Jacquinet — Jérôme Létier, ex-Directeur Général de l'ANTS, dans les bureaux de la Tour Montparnasse © Edouard Jacquinet

Le contexte : la quasi-totalité de la population française a vu, depuis un an, ses données personnelles exposées et vendues. La France est devenue en 2025 le deuxième pays au monde pour les comptes volés, avec un taux de compromission par habitant douze fois supérieur à la moyenne mondiale.

Alors que des solutions techniques existent pour corriger la vulnérabilité de type IDOR qui a provoqué la fuite au sein de l’agence qui délivre les permis de conduire, les cartes grises etc, depuis Charleville-Mézières et la Tour Montparnasse, il a fallu huit ans au ministère de l’Intérieur et à ses satellites pour ouvrir les API utiles. Un CTO* expert de ses sujets explique ceci et pourquoi accéder à Doc Verif permettrait de limiter les fraudes.

Le 15 avril 2026, l'Agence Nationale des Titres Sécurisés (ANTS), l'organisme qui délivre permis de conduire, cartes grises, cartes d'identité et passeports, a découvert qu'une faille de sécurité exposait les données de millions de Français. La vulnérabilité est dite IDOR : il suffisait de modifier un chiffre dans l'URL pour accéder au compte d'un autre utilisateur. Le type de faille enseigné en première semaine de formation en cybersécurité. Selon le ministère de l'Intérieur, 11,7 millions de comptes sont concernés. Le pirate en revendique 18 à 19 millions.

Une fuite parmi des dizaines d'autres

L'article replace cet incident dans un contexte alarmant. Depuis 2024, la France enchaîne les fuites massives de données : Free (19 millions d'abonnés, automne 2024), France Travail (36,8 millions de personnes, début 2024), Cegedim Santé (15 millions de patients, fin 2025), plusieurs dizaines de fédérations sportives (4,5 millions de licenciés), l'UNSS (1,5 million de photos d'élèves mineurs), trois Agences Régionales de Santé, et les fichiers TAJ et FPR de la police nationale. Entre septembre 2024 et septembre 2025, la CNIL a enregistré 8 163 notifications de violations de données, en hausse de 45% sur un an. La France est devenue en 2025 le deuxième pays au monde pour les comptes volés, avec un taux de compromission par habitant douze fois supérieur à la moyenne mondiale. En cumulé, la quasi-totalité de la population adulte française a été exposée, souvent plusieurs fois.

La CNIL sanctionne, mais ne prévient pas

Entre le 8 et le 22 janvier 2026, la CNIL a prononcé 47 millions d'euros d'amendes : 27 millions contre Free Mobile, 15 millions contre Free, et 5 millions contre France Travail. Mais la CNIL sanctionne après coup, ce n'est pas son mandat de construire les outils qui éviteraient les fuites. Ce mandat appartient au ministère de l'Intérieur, qui n'a pas bougé sa doctrine depuis dix ans.

Bureaux de l'ANTS à Charleville-Mézières, 2019 © Edouard Jacquinet

DOCVERIF : un outil insuffisant

Il existe une base dédiée à la lutte contre la fraude documentaire : DOCVERIF. Créée par arrêté en août 2016, elle permet à la police et à la gendarmerie de vérifier si un numéro de CNI ou de passeport est valide, invalide ou inconnu. Ce n'est qu'en décembre 2024, soit huit ans plus tard, que le ministère a consenti à ouvrir ce service aux établissements bancaires, de paiement et aux assurances, pourtant parmi les premiers exposés à la fraude documentaire.

Mais DOCVERIF version 2026 reste insuffisant. Il certifie qu'un numéro et les premières lettres d'un nom correspondent à une émission réelle, mais il ne vérifie pas la photo, ni que la personne en face est bien la bonne. Dans un scénario de fraude classique, un fraudeur récupère des données dans la fuite ANTS, fabrique une fausse carte avec les vraies informations mais sa propre photo, la présente à une banque qui interroge DocVerif, et obtient une réponse « valide ». La fausse pièce devient plus crédible qu'avant, avec un label de confiance étatique.

Le verrou politique : le fichier TES

La solution technique existe : envoyer un scan complet de la pièce d'identité au fichier TES (Titres Électroniques Sécurisés) pour obtenir une réponse binaire, oui, ce document a bien été émis avec exactement cette photo, ou non. Techniquement trivial. Mais politiquement bloqué depuis 2016.

Lors de la création du TES en octobre 2016, un tollé politique avait conduit le ministre Cazeneuve à intégrer un verrou dans le décret lui-même : le système ne peut pas être utilisé à des fins d'identification inverse. L'ANSSI et la DINSIC avaient confirmé en janvier 2017 que le système était conçu pour empêcher toute réversibilité. Ce verrou a d'ailleurs prouvé son utilité : dans la fuite ANTS d'avril 2026, la biométrie faciale n'a pas fuité, contrairement aux identifiants.

Le problème n'est pas le verrou, c'est qu'aucun mécanisme d'accès encadré n'a été construit en parallèle. Ni Collomb, ni Castaner, ni Darmanin, ni Retailleau, ni Nuñez n'ont rouvert ce dossier. Les obstacles sont connus : contraintes budgétaires de l'ANTS, bande passante limitée de l'ANSSI, et tabou politique persistant autour de la reconnaissance faciale depuis les affaires Alicem et Clearview.

Ce qu'il faut construire

L'article propose un cahier des charges précis : une API d'authentification 1:1, qui répond oui ou non à partir d'un scan de document déjà en main, sans jamais renvoyer de données personnelles. Les établissements concernés seraient uniquement ceux légalement tenus de vérifier l'identité au titre de la lutte contre le blanchiment, banques, assurances, notaires, opérateurs télécoms, néobanques. Les garde-fous seraient stricts : convention avec le ministère, quotas journaliers par établissement, audit indépendant, rapport annuel public. Ce design est cadrable par la CNIL et ne rouvre pas la question de l'identification biométrique inverse.

Cette solution est par ailleurs complémentaire, et non concurrente, du Programme National d'Identité Numérique (PNID) et de l'application France Identité, dont le déploiement avance. Elle couvre les cas que le canal numérique ne peut pas encore traiter : résidents non-UE, clients sans smartphone, onboardings physiques.

La nouvelle directrice générale de l'ANTS

Julie Mercier a été nommée directrice générale de l'ANTS par décret du 8 avril 2026. Sept jours plus tard, elle découvrait la faille. Elle n'y est pour rien, elle n'avait pas eu le temps de procéder aux vérifications techniques nécessaires. L'Inspection Générale de l'Administration a été saisie par le ministre pour établir la chaîne de responsabilité, ce qui pourrait créer le précédent politique nécessaire pour enfin rouvrir ce dossier.

La conclusion

On ne peut pas, en 2026, fuiter les données des Français en masse, infliger 47 millions d'euros d'amendes aux opérateurs fautifs, et simultanément interdire aux acteurs légitimes les outils qui rendraient ces fuites inoffensives. Le dossier est entre les mains du ministre Laurent Nuñez et de Julie Mercier. Le reste, conclut l'auteur, c'est 12 millions de faux en sursis.

*L’analyse technique de la fuite et les solutions préconisées sont issues d’une contribution publiée cette semaine sur un réseau social par Fabien Huet, CTO de Green Got