Le 15 avril 2026, l’Agence nationale des titres sécurisés (ANTS), portail incontournable pour les démarches liées aux passeports, cartes d’identité, permis de conduire ou cartes grises, est visée par une cyberattaque d’ampleur.
Il faudra attendre cinq jours pour que l’agence déclare avoir détecté une intrusion « susceptible d’entraîner une divulgation de données » d’usagers.
Entre-temps, sur un forum cybercriminel, un acteur malveillant propose déjà à la vente une base de données présentée comme issue des systèmes de l’ANTS. Celle-ci contiendrait plusieurs millions d’enregistrements. Parmi les informations compromises figureraient notamment les identifiants de connexion, civilités, noms, prénoms, adresses électroniques et dates de naissance. Selon les profils, d’autres données peuvent également être concernées, comme l’adresse postale, le lieu de naissance ou le numéro de téléphone. Les comptes professionnels ne seraient pas épargnés, avec des informations telles que la raison sociale ou le numéro SIREN.
L’attaquant, dans un message teinté de provocation, évoque une « faille vraiment stupide », laissant entendre une absence de contrôle côté serveur ayant permis une extraction massive des données. Plusieurs experts pointent une vulnérabilité de type IDOR (Insecure Direct Object Reference) comme origine probable de cette fuite.
Une faille IDOR, c’est quoi exactement ?
IDOR signifie Insecure Direct Object Reference, qu’on peut traduire par « référence directe non sécurisée à un objet ». Le concept est relativement simple à comprendre : ce type de faille permet d’accéder aux données d’autres utilisateurs en modifiant simplement un identifiant dans les requêtes envoyées à l’API, sans qu’aucun contrôle d’autorisation ne soit effectué côté serveur.
Concrètement : un attaquant connecté à son propre compte pouvait changer user_id=12345 en user_id=12346 dans l’URL, et voir les informations personnelles de l’utilisateur suivant. En automatisant ce procédé, il a suffi de quelques jours pour aspirer des millions d’enregistrements.
La logique défaillante est là, le serveur répond à la requête sans vérifier si la personne qui la formule a le droit d’y accéder. Il fait confiance au chiffre qu’on lui soumet. Résultat, n’importe quel utilisateur authentifié peut, sans compétence technique particulière, itérer sur des milliers d’identifiants et collecter les données de tout le monde.
Une vulnérabilité documentée depuis des décennies
Ce qui rend cette affaire particulièrement difficile à avaler pour la communauté cybersécurité, c’est l’ancienneté et la notoriété de la faille. Les failles IDOR font partie du top 10 OWASP des vulnérabilités web les plus courantes. L’OWASP, l’Open Worldwide Application Security Project, publie cette liste de référence à destination des développeurs depuis 2003. Une IDOR y figure régulièrement sous la catégorie « Broken Access Control », défaillance du contrôle d’accès qui se retrouve en tête du classement depuis 2021.
En clair : c’est une erreur connue, documentée, pour laquelle il existe des correctifs standards. La vérification côté serveur que l’utilisateur A ne peut accéder qu’aux ressources de l’utilisateur A est l’un des premiers réflexes enseignés en développement sécurisé. Pas de cryptanalyse avancée, pas de zero-day sophistiqué.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Toute l'actu tech en un clin d'œil
Ajoutez Numerama à votre écran d'accueil et restez connectés au futur !
Pour ne rien manquer de l’actualité, suivez Numerama sur Google !
