{"id":2785,"date":"2026-04-20T15:09:15","date_gmt":"2026-04-20T13:09:15","guid":{"rendered":"https:\/\/elearningsamba.com\/index.php\/lants-piratee-19-millions-de-francais-dans-la-merde-a-cause-dune-faille-basique\/"},"modified":"2026-04-20T15:09:15","modified_gmt":"2026-04-20T13:09:15","slug":"lants-piratee-19-millions-de-francais-dans-la-merde-a-cause-dune-faille-basique","status":"publish","type":"page","link":"https:\/\/elearningsamba.com\/index.php\/lants-piratee-19-millions-de-francais-dans-la-merde-a-cause-dune-faille-basique\/","title":{"rendered":"L’ANTS pirat\u00e9e – 19 millions de Fran\u00e7ais dans la merde \u00e0 cause d’une faille basique"},"content":{"rendered":"

L’ANTS vient de se faire hacker… 19 millions de fiches dans la nature, r\u00e9cup\u00e9r\u00e9es via une faille IDOR (Insecure Direct Object Reference, pour les intimes). Pour ceux qui connaissent pas le terme, IDOR c’est l’exercice qu’on donne aux \u00e9tudiants le deuxi\u00e8me jour d’un cours de cybers\u00e9curit\u00e9 !<\/p>\n

En clair, l’attaquant envoyait une requ\u00eate sur l’API en rempla\u00e7ant l’identifiant de son profil par un autre. Et hop, le serveur lui renvoyait le dossier d’un citoyen fran\u00e7ais en face, sans jamais v\u00e9rifier qu’il avait le droit de le consulter. Aucun contr\u00f4le d’autorisation s\u00e9rieux, aucun rate-limiting, et visiblement aucune alerte quand une IP aspire 19 millions de fiches. Que dalle !<\/p>\n

Le gars qui a d\u00e9couvert le truc s’appelle Seblatombe, il tient le blog
\nFrenchBreaches<\/a>
\net il a balanc\u00e9 l’info ce 20 avril. Les donn\u00e9es fuit\u00e9es, ce sont vos noms, pr\u00e9noms, dates de naissance, adresses postales, emails, num\u00e9ros de t\u00e9l\u00e9phone, identifiants ANTS et num\u00e9ros d’accr\u00e9ditation pro. Par contre, les mots de passe et les donn\u00e9es bancaires n’ont pas fil\u00e9, et c’est bien le seul truc qui sauve ce dossier du naufrage complet.<\/p>\n

\"\"<\/p>\n

Quoiqu’il en soit, ce n’est pas un accident isol\u00e9 puisque qu’en mars 2024, France Travail se fait \u00e9ventrer avec 36,8 millions de victimes. Avant \u00e7a, en janvier 2024, Viamedis et Almerys l\u00e2chent 33 millions d’assur\u00e9s sociaux. En novembre 2024, Pajemploi expose 1,2 million de dossiers. Et plus r\u00e9cemment en d\u00e9cembre 2025, la CAF perd 8,6 millions de comptes.<\/p>\n

Et maintenant l’ANTS, avec 19 millions de plus.<\/p>\n

Faites le cumul les amis. Pr\u00e8s de 100 millions de lignes fuit\u00e9es depuis d\u00e9but 2024, avec \u00e9videmment des doublons puisqu’un m\u00eame citoyen est fich\u00e9 sur plusieurs services. Pour un pays de 68 millions d’habitants, c’est un joli record je trouve ! On devrait avoir une m\u00e9daille !<\/p>\n

Perso, ce qui me fait halluciner, c’est le communiqu\u00e9 officiel de l’ANTS. Leur conseil aux citoyens c’est, je cite, que vous “n’avez aucune d\u00e9marche \u00e0 accomplir<\/em>“. LOL ! France Travail, au moins, avait pris la peine de pr\u00e9venir les victimes une par une et de publier un plan de rem\u00e9diation, parce qu’ils s’\u00e9taient fait visiblement taper sur les doigts par la CNIL. Avec l’ANTS, c’est \u00e0 vous de g\u00e9rer le bordel qu’ils ont cr\u00e9\u00e9.<\/p>\n

Alors concr\u00e8tement, qu’est-ce que vous pouvez faire ? D\u00e9j\u00e0, allez v\u00e9rifier si votre email tra\u00eene d\u00e9j\u00e0 dans la nature sur haveibeenpwned.com. Ensuite, changez le mot de passe de votre compte ANTS et activez la 2FA partout o\u00f9 elle est dispo.<\/p>\n

Attention aussi aux mails ou SMS qui mentionnent votre nom et votre date de naissance, c’est le jackpot des arnaqueurs pour ressembler \u00e0 un vrai service. Et surveillez vos comptes bancaires parce qu’avec nom + adresse + date de naissance + t\u00e9l\u00e9phone, une demande de cr\u00e9dit frauduleuse passe comme une lettre \u00e0 la poste.<\/p>\n

D’ailleurs, j’avais d\u00e9j\u00e0 fait un
\nbilan des hacks fran\u00e7ais en 2025<\/a>
\nqui r\u00e9sumait l’ambiance. Visiblement rien n’a chang\u00e9. Les m\u00eames failles basiques, les m\u00eames audits inexistants, les m\u00eames communiqu\u00e9s minimalistes. L’\u00c9tat a transform\u00e9 vos donn\u00e9es personnelles en open bar pour cybercriminels, et le seul vrai plan de rem\u00e9diation qu’on nous propose c’est de croiser les doigts.<\/p>\n

Bref, une IDOR sur une agence qui g\u00e8re les donn\u00e9es de 19 millions de Fran\u00e7ais, franchement, c’est selon moi pas une erreur mais clairement une faute grave.<\/p>\n

\nSource<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

L’ANTS vient de se faire hacker… 19 millions de fiches dans la nature, r\u00e9cup\u00e9r\u00e9es via une faille IDOR (Insecure Direct Object Reference, pour les intimes). Pour ceux qui connaissent pas le terme, IDOR c’est l’exercice qu’on donne aux \u00e9tudiants le deuxi\u00e8me jour d’un cours de cybers\u00e9curit\u00e9 ! En clair, l’attaquant envoyait une requ\u00eate sur l’API en rempla\u00e7ant l’identifiant de son profil par un autre. Et hop, le serveur lui renvoyait le dossier d’un citoyen fran\u00e7ais en face, sans jamais v\u00e9rifier qu’il avait le droit de le consulter. Aucun contr\u00f4le d’autorisation s\u00e9rieux, aucun rate-limiting, et visiblement aucune alerte quand une IP aspire 19 millions de fiches. Que dalle ! Le gars qui a d\u00e9couvert le truc s’appelle Seblatombe, il tient le blog FrenchBreaches et il a balanc\u00e9 l’info ce 20 avril. Les donn\u00e9es fuit\u00e9es, ce sont vos noms, pr\u00e9noms, dates de naissance, adresses postales, emails, num\u00e9ros de t\u00e9l\u00e9phone, identifiants ANTS et num\u00e9ros d’accr\u00e9ditation pro. Par contre, les mots de passe et les donn\u00e9es bancaires n’ont pas fil\u00e9, et c’est bien le seul truc qui sauve ce dossier du naufrage complet. Quoiqu’il en soit, ce n’est pas un accident isol\u00e9 puisque qu’en mars 2024, France Travail se fait \u00e9ventrer avec 36,8 millions de victimes. Avant \u00e7a, en janvier 2024, Viamedis et Almerys l\u00e2chent 33 millions d’assur\u00e9s sociaux. En novembre 2024, Pajemploi expose 1,2 million de dossiers. Et plus r\u00e9cemment en d\u00e9cembre 2025, la CAF perd 8,6 millions de comptes. Et maintenant l’ANTS, avec 19 millions de plus. Faites le cumul les amis. Pr\u00e8s de 100 millions de lignes fuit\u00e9es depuis d\u00e9but 2024, avec \u00e9videmment des doublons puisqu’un m\u00eame citoyen est fich\u00e9 sur plusieurs services. Pour un pays de 68 millions d’habitants, c’est un joli record je trouve ! On devrait avoir une m\u00e9daille ! Perso, ce qui me fait halluciner, c’est le communiqu\u00e9 officiel de l’ANTS. Leur conseil aux citoyens c’est, je cite, que vous “n’avez aucune d\u00e9marche \u00e0 accomplir“. LOL ! France Travail, au moins, avait pris la peine de pr\u00e9venir les victimes une par une et de publier un plan de rem\u00e9diation, parce qu’ils s’\u00e9taient fait visiblement taper sur les doigts par la CNIL. Avec l’ANTS, c’est \u00e0 vous de g\u00e9rer le bordel qu’ils ont cr\u00e9\u00e9. Alors concr\u00e8tement, qu’est-ce que vous pouvez faire ? D\u00e9j\u00e0, allez v\u00e9rifier si votre email tra\u00eene d\u00e9j\u00e0 dans la nature sur haveibeenpwned.com. Ensuite, changez le mot de passe de votre compte ANTS et activez la 2FA partout o\u00f9 elle est dispo. Attention aussi aux mails ou SMS qui mentionnent votre nom et votre date de naissance, c’est le jackpot des arnaqueurs pour ressembler \u00e0 un vrai service. Et surveillez vos comptes bancaires parce qu’avec nom + adresse + date de naissance + t\u00e9l\u00e9phone, une demande de cr\u00e9dit frauduleuse passe comme une lettre \u00e0 la poste. D’ailleurs, j’avais d\u00e9j\u00e0 fait un bilan des hacks fran\u00e7ais en 2025 qui r\u00e9sumait l’ambiance. Visiblement rien n’a chang\u00e9. Les m\u00eames failles basiques, les m\u00eames audits inexistants, les m\u00eames communiqu\u00e9s minimalistes. L’\u00c9tat a transform\u00e9 vos donn\u00e9es personnelles en open bar pour cybercriminels, et le seul vrai plan de rem\u00e9diation qu’on nous propose c’est de croiser les doigts. Bref, une IDOR sur une agence qui g\u00e8re les donn\u00e9es de 19 millions de Fran\u00e7ais, franchement, c’est selon moi pas une erreur mais clairement une faute grave. Source<\/p>\n","protected":false},"author":1,"featured_media":2786,"parent":0,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"give_campaign_id":0,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_kadence_starter_templates_imported_post":false,"footnotes":""},"class_list":["post-2785","page","type-page","status-publish","has-post-thumbnail","hentry"],"campaignId":"","_links":{"self":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2785","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/comments?post=2785"}],"version-history":[{"count":0,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/pages\/2785\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media\/2786"}],"wp:attachment":[{"href":"https:\/\/elearningsamba.com\/index.php\/wp-json\/wp\/v2\/media?parent=2785"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}