S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

[MàJ] Fuite de données à France Titres : au moins 11,7 millions de comptes touchés

Le site du gouvernement français vous permettant d’effectuer vos démarches de passeport, carte d’identité, permis de conduire et carte grise a subi un « incident de sécurité », selon un email que le service a envoyé à des utilisateurs.

Dans son communiqué de presse publié ce mardi 21 avril, le ministère de l’Intérieur annonce le chiffre de 11,7 millions de comptes concernés.

L’agence nationale des titres sécurisés (ANTS) qui le gère s’en est aperçue le mercredi 15 avril dernier. Elle leur indique que les données personnelles concernées sont, entre autres :

  • « les données relatives à [leur] état civil (nom et prénom) ;
  • les identifiants de connexion (identifiant de compte et adresse mail) ;
  • et d’autres données présentes uniquement dans certains comptes (adresse postale et numéro de téléphone). »

L’ANTS assure qu’elle a pris « toutes les mesures nécessaires » depuis et que « les données transmises dans le cadre de vos démarches de passeport, carte d’identité, permis de conduire et carte grise (numéro de demande, statut de demande, pièces justificatives, photographies) ne sont, par ailleurs, pas concernées par cet incident ».

Le communiqué de presse envoyé par le ministère de l’Intérieur à l’AFP détaille un peu plus : « sous réserve des investigations en cours, s’agissant des comptes particuliers, les données à caractère personnel concernées seraient des données d’identification : identifiant de connexion, civilité, nom, prénoms, adresse électronique, date de naissance, identifiant unique du compte ; et, le cas échéant, d’autres données qui ne sont pas systématiquement présentes dans les comptes : adresse postale, lieu de naissance, téléphone ».

Il précise aussi que « la divulgation des données ne concerne pas les données complémentaires transmises dans le cadre de la réalisation des différentes démarches, telles que les pièces jointes. Ces données personnelles ne permettent pas d’accès illégitime au compte du portail ».

L’agence ajoute dans son email avoir notifié la CNIL de l’incident et que le ministère de l’Intérieur a transmis un signalement à la Procureure de la République de Paris en application de l’article 40 du code de procédure pénale en vue de l’ouverture d’une enquête.

Elle affirme aux utilisateurs qu’ils n’ont aucune démarche à effectuer mais leur conseille de redoubler de vigilance concernant les tentatives de phishing.

Le communiqué du ministère explique aussi que les investigations doivent encore déterminer précisément l’origine de l’incident ainsi que son ampleur.

En septembre dernier, l’ANTS avait enquêté sur une fuite de données revendiquée par des pirates, sans trouver de trace d’intrusion tout en affirmant que l’échantillon mis en ligne présentait de « nombreuses incohérences ». France Titres ajoutait que, « en tant qu’opérateur du ministère de l’Intérieur manipulant des données sensibles, l’ANTS fait l’objet de mesures de sécurité renforcées et d’une vigilance permanente des services de l’État contre toute intrusion, physique ou informatique ». Cette fois, c’est officiel, les défenses sont tombées.

Ce n’est malheureusement pas la première fois de l’année qu’une institution française subit une fuite de ce genre. Ainsi l’Urssaf a subi une fuite en janvier concernant 12 millions de victimes potentielles, des données du CNRS ont été récupérées en février dernier, celles du système d’information sur les armes du ministère de l’Intérieur en mars

Commentaires (44)

votre avatar
L'ANTS aussi a changé de nom pour un France truc!? Franchement…
votre avatar
"France Titres", c'est le site pour acheter sa particule/anoblissement? :eeek2:
Moi j'aimais bien "l'Agence Nationale des Trous de Sécurité"...

Ils auraient pu appeler cela "France Patrie"... après "France-Travail" et "France-Famille". :reflechis:
votre avatar
Finalement ça sera ANTNS : Agence Nationale des Titres Non Sécurisés
votre avatar
A t'on des informations sur la période pendant laquelle ces accès non autorisé ont eu lieu?

Je trouve le communiqué très flou sur le sujet.

Ils ont détecté le problème le 15 avril, certes, mais depuis quand c’était en train de fuir?
La détection a elle eu lieu lors de recherches dans le contexte des rumeurs de fuite de septembre ?
votre avatar
C'est peut être parce qu'ils sont encore en train de faire l'état des lieux qu'on n'a pas ces informations, c'est dans le communiqué d'ailleurs.
votre avatar
L"inondation (du dark web) commence à être conséquente avec toutes ces fuites ...
votre avatar
C’est une data pool désormais, on nage dans les données personnelles de millions de personnes et toujours pas de condamnation..
votre avatar
Peut on objecter à confier nos données à l'état (quelque soit l'administration) vue qu'elle est incapable de protéger nos données? L'état est il attaquable pour défaut de sécurisation?
J'ai l'impression d'entendre un de mes ados me dire : "oups" comme s'il s'agissait, d'une explication une demi excuse et d'une fin de non-recevoir
votre avatar
Non, tu ne peux pas. Mais tu peux écrire à ton député pour qu’il change essaie de changer la loi. Sinon tu as aussi tes yeux pour pleurer, ou tu peux être cynique en mode « je vous l’avais bien dit ».
votre avatar
Cela dit, tu ne peux pas confier à l'état, aux boutiques en ligne, aux associations sportives, aux hopitaux, aux opérateurs, etc... Au final, tu devrais attaquer pas mal de monde :)
Je ne vois pas vraiment de secteur épargné ? Les banques peut-être ? J'ai pas souvenir, mais il y en a tellement.
votre avatar
Vu le nombre de fuites un peu partout, des sites étatiques ou non, je crois que toutes nos identités sont en libre service depuis un bout de temps, et c'est si triste que ça pourrait en devenir anxiogène, terriblement.

Quant aux conseils de l'ANTS, qui propose aux usagers d'être vigilants, quand on voit la capacité de réflexion sur d'autres sujets (des complotistes notamment, terre plate, chemtrails, vaccins &co), les pirates escrocs ont de beaux jours devant eux.
votre avatar
Oui c'est possible que l'état soit en défaut de sécurisation, France Travail y a bien eu droit.
Après faudra voir ce qui a merdé, l'assurance 0 risque n'existe pas.
votre avatar
France fuites
votre avatar
La gestion du Site de l'ANTS est une honte depuis des années.

Il y a quelques années, je ne pouvais pas saisir mon adresse.
Le fait de choisir "Allée" dans la liste déroulantes des types de voie faisait planter la page de saisie à la soumission ! :) (HTTP 500 - contactez votre administrateur! est-ce que vous devinerez pourquoi ?) :)
Le formulaire pour remonter des incidents n’était pas fonctionnel !
En forçant délicatement le bouton de validation du formulaire en HTML, j'ai pu remonter l'incident que je rencontrais. J'ai reçu un mail me disant 'blabla votre demande sera traitée sous 48h'.
Je n'ai jamais été recontacté et rien n'avait été corrigé.

Aucun mail ou numéro de téléphone pour contacter les administrateurs du site.
Mais en fouillant les pages du site (ou le code), j'ai pu retrouver la "Web Master".
J'ai pu trouver toute sa vie sur internet (ses problèmes de peau, ses tatouages, etc...) et même son numéro de mobile perso...

Le directeur de l'ANTS à ce moment la était un proche de Sarkozy. (Belle pantoufle...)

Avant le problème que je rencontrais, nombre de garagistes n'ont pu délivrer les cartes grises des véhicules vendus pendant plusieurs mois !!! :)
votre avatar
Il a fallu choisir entre McKinsey et la sécurité en termes d’investissement. Désolé.
votre avatar
votre avatar
Quel intérêt de mettre un champ “répondre à” si c’est pour mettre un no-reply ?
C’est spécifique aux listes de distributions ?
votre avatar
C'est justement pour que tu ne répondes pas à l'émetteur. Et que ta réponse parte dans /dev/null direct. C'est ça le service client, de nos jours.
votre avatar
l’ANTS fait l’objet de mesures de sécurité renforcées et d’une vigilance permanente des services de l’État contre toute intrusion
Qu'est-ce qu'on se marre dites-donc ! 🥲
votre avatar
L’agence ajoute dans son email avoir notifié la CNIL de l’incident
Ça a une réelle utilité, ou c'est juste pour leur permettre de dire "on a fait quelque chose, même si ça sert à rien" ?
votre avatar
C'est une obligation du responsable du traitement, donc vaut mieux qu'il l'indique.
votre avatar
Je reformule ma question : pourquoi cette obligation pour le responsable de traitement ? Il se passe quoi après cette notification ?
votre avatar
Ça déclenche une enquête par la CNIL avec potentiellement des sanctions à la clé si des manquements ont été constatés (cf le cas Free passé y'a quelques mois).
votre avatar
J'ai pas reçu de mail. Je suis passé entre les mailles du filet ?
votre avatar
perso je l'ai reçu en début d'aprem (j'ai refait des papiers l'an dernier, je sais pas si ça joue), je te souhaite d'avoir plus de chance !
votre avatar
Pas encore eu alors que j'ai refait un passeport l'année dernière (j'ai même eu droit à celui du RDV mairie) et une CNI y'a une paire de mois.

Faut dire que ce sont des envois par vague. Je les reçois toujours un peu après.
votre avatar
J'ai refait les papiers en février, alors soit c'est plus ancien et j'ai de la chance, soit je vais recevoir un message bientôt...
votre avatar
+1 pas reçu, mais un de mes collègues oui.
Peut être qu'ils font des envois par vagues en fonction des découvertes.

Free avait fait des envois sur plusieurs jours.
votre avatar
De toute façon, 11 Millions de mails, c'est surement par vague :)
votre avatar
Et comment ça se passe niveau fuite si j'ai l'habitude me connecter via France Connect? (notamment au niveau des identifiants de connexion).
J'ai pu lire ailleurs que c'est dû à un problème de IDOR (Insecure Direct Object Reference), un truc tellement con.. En mode si ma démarche a l'id 2345, j'ai une URL de dossier .../dossier/2345, ben en allant zyeuter le .../dossier/2346, j'ai accès à toutes les infos, sans restriction!!
votre avatar
Pour l'IDOR c'est pas impossible.

Par contre, Korben quoi :
Perso, ce qui me fait halluciner, c'est le communiqué officiel de l'ANTS. Leur conseil aux citoyens c'est, je cite, que vous "n'avez aucune démarche à accomplir". LOL ! France Travail, au moins, avait pris la peine de prévenir les victimes une par une et de publier un plan de remédiation, parce qu'ils s'étaient fait visiblement taper sur les doigts par la CNIL. Avec l'ANTS, c'est à vous de gérer le bordel qu'ils ont créé.
Alors concrètement, qu'est-ce que vous pouvez faire ? Déjà, allez vérifier si votre email traîne déjà dans la nature sur haveibeenpwned.com. Ensuite, changez le mot de passe de votre compte ANTS et activez la 2FA partout où elle est dispo.
Déjà, l'ANTS a prévenu les victimes une par une, et le mot de passe n'ayant pas fuité, aucun besoin de changer le mot de passe. Donc non, rien à faire de la part des utilisateurs.
votre avatar
Au dela de cette erreur basique de dev, issue probablement du sous-traitant (on sait qui c'est ?), le service étant critique et exposé : on peut penser qu'il bénéficiait d'un pentest régulier depuis quelques années (par qui ?). Pourquoi ces pentests n'ont pas détecté cette vulnérabilité basique ?
votre avatar
Quand je vois ça je suis bien content d'avoir encore et toujours ma carte d'identité papier... et périmée.

Mais bon je suis chaud pour une petite action de groupe pour être indemnisé pour toutes ces fuites de données...
votre avatar
Pour la demande d'indemnisation, France Fuites va vous demander vos coordonnées et votre RIB, qui vont bien sûr à nouveau fuiter...
votre avatar
Pas grave, grâce à Free ils l'ont déjà :D

Oh wait ! non c'était le RIB du compte commun, mais comme ce compte a été fermé du coup ils ont le bec dans l'eau (enfin jusqu'à la prochaine fuite).

Finalement il faudrait nommer un plombier à la tête de la CNIL.
votre avatar
Allez hop un de plus:

Cordialement,

France Titres, l’agence nationale des titres sécurisés

On peut les attaquer pour publicité mensongère ?
votre avatar
France Titres, l’agence nationale des titres sécurisés
Ils vont dire qu'ils ne sont pas l’agence nationale des titres sécuriséE...
votre avatar
On peut les attaquer pour publicité mensongère ?
Ben, pour ça, il faut démontrer l'absence de sécurisation. Pour ça, va falloir attendre l'enquête de la CNIL.
votre avatar
Ils ont fait une communication aux personnes concernées ? Comment savoir si on fait partie des gagnants ?
votre avatar
J'ai reçu le mail hier, pour ma part.

(la comm aux personnes concernées reste une obligation légale)
votre avatar
(la comm aux personnes concernées reste une obligation légale)
Non. Seulement en cas de risque élevé pour les personnes concernées.
votre avatar
En effet, mes souvenirs étaient imprécis.

Toutefois, le point 4 de l'article 34 dispose que l'autorité de contrôle peut exiger la communication si elle estime un risque élevé pour les personnes concernées (sauf si les exceptions en 3 sont validées) là où le responsable ne l'aurait pas forcément évalué ainsi.

Je pense que l'excès de zèle n'est pas de trop ici pour montrer la bonne volonté du responsable, ce qui rend la communication plus ou moins nécessaire.
votre avatar
Attention, je ne faisais que réagir sur le côté obligatoire. Cela ne l'est que lorsqu'il y a un risque pour les personnes.

Mais cela n'empêche absolument pas de faire une communication pour autant ! C'est même recommandé ;)
votre avatar
Mais cela n'empêche absolument pas de faire une communication pour autant ! C'est même recommandé ;)
C'est pas ce que j'ai dit, justement. Je pense qu'avec la possibilité que l'autorité puisse contester la décision du responsable (même si ça n'implique pas de sanction) rend la comm de facto obligatoire.

Après, je pense aussi qu'entre le moment où le RGPD a été écrit et aujourd'hui, les violations de données personnelles sont toutes à risque élevé. En attestent les 5 amendes à payer avant majoration et les 12 renouvellements de carte vitale que je reçois sur les anciennes adresses de Bouygues Tel et Boulanger, par exemple.

Le plus drôle a été récemment l'article exclusif France Info qu'il fallait vite vite vite consulter avant qu'il soit retiré du site ! :mdr:

Perso, je ne me fais pas avoir parce que les adresses mail sont dédiées. La personne lambda, y'a 50% de chances qu'elle tombe dans le panneau tellement c'est bien fait désormais.