S3 1 To
S3 1 To
Connexion Premium
Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société
Déontologie Règles de modération Mentions légales et contact
Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS GitHub Discord

Fuite de l’ANTS : un ado de 15 ans en garde à vue. « Ce n’est pas un prodige. C’est un signal. »

Laure Beccuau, procureure de la République, annonce que le, 25 avril, « un mineur âgé de 15 ans a été placé en garde à vue, soupçonné d’avoir contribué à la fuite de données au préjudice de l’ANTS (France Titres, Agence nationale des titres sécurisés) ».

Pour rappel, au moins 11,7 millions de comptes sont touchés. Le portail France Titres a été fermé vendredi 24 avril pour maintenance. Selon nos constatations, c’est finalement mercredi 29 avril en fin de journée que l’accès aux démarches en ligne et à l’identification via France Connect ont été rétablis.

Dans son communiqué, la procureure rappelle que l’OFAC (Office anti-cybercriminalité) avait été informé en avril d’une cyberattaque contre l’ANTS : « Entre 12 et 18 millions de lignes de données étaient proposées à la vente sur des forums cybercriminels, par un hacker surnommé « breach3d » ». Attaque confirmée le 13 avril 2026, avec « l’authenticité des données revendues ».

La section de lutte contre la cybercriminalité du parquet de Paris a ouvert une enquête le 16 avril pour « accès et maintien frauduleux dans un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État, ainsi que d’extraction frauduleuse de données contenues dans un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État (délits faisant encourir la peine de 7 ans d’emprisonnement et 300 000 euros d’amende) ».

Une information judiciaire est finalement ouverte hier, mercredi 29 avril 2026 par le parquet de Paris : « Les investigations se poursuivent désormais sous la direction du juge d’instruction ». Johanna Brousse, vice-procureure du parquet de Paris, cheffe de la section de lutte contre la cybercriminalité, revient sur cette arrestation avec un message sous la forme d’une alerte :

« Vol de données ANTS : interpellation d’un suspect, il a 15 ans.
Ce n’est pas un prodige.
C’est un signal.
La menace cyber se banalise.
À nous, collectivement, d’élever notre niveau de cyber résilience. »

Il y a une semaine, une autre arrestation faisait la une des journaux : HexDex. Il est soupçonné d’être à l’origine de la mise en ligne de nombreuses bases de données dérobées à des fédérations sportives, au système d’information sur les armes du ministère de l’Intérieur (SIA), à l’Agence Nationale de la Cohésion des Territoires (ANCT), au service Choisir le service public gouv, etc.

Entre les deux arrestations, les fuites ne se sont pas arrêtées avec 705 000 candidats à Parcoursup, l’Agence de services et de paiement et 330 000 usagers du téléservice Radiomaritime de l’ANFR. Le Premier ministre, Sébastien Lecornu, se rendra cet après-midi à l’ANTS pour parler de cybersécurité. À voir maintenant la teneur des annonces qui y seront faites.

Commentaires (54)

votre avatar
Et là on va apprendre que ce mineur de 15 ans a utilisé l’IA…
votre avatar
of course. AI is the new script kiddie :D
votre avatar
selon la cour des comptes, le budget du SI de l'ANTS, c'est 65 000 000€. Dont 50 de sous traitance.


Tout ça pour qu’un mineur de 15 ans y accède.. y’a un gros problème.
votre avatar
je confirme tellement... Quand je vois ce qu'on balance en presta externe, presta qui laisse des TONNES de failles. Juste ce matin je vais sur un serveur, je vois un outil de prise en main à distance, laissé allumé depuis la veille. Les presta externes, c'est juste la rentabilité. Et internaliser ? "Tu sais bien qu'on a pas d'argent" oO
(edit : je précise que le presta est certifié ISO27001)
votre avatar
J'ai aussi vu une société de la défense qui faisait appel à un prestataire pour la gestion des PC "bureautique", séparé des PC "technicien", avec 3 outils de prise en main distance, tous connectés à des serveurs en Inde....et le pire, on a fait remonter l'information au PDG de la boite et il a répondu "ils sont moins chère que les boites FR" alors plus rien ne peut me choquer
votre avatar
il n y a pas d'âge pour être bon en informatique !
votre avatar
Il faudra donc que les politiques fassent trucs pour interdire l'IA
votre avatar
C'est le responsable de la DSI qui devrait être en gàv.
votre avatar
Oui et virer tous les bras cassé et embaucher le gamin
votre avatar
Si il a utilisé de l'IA pour faire ça, autant embaucher un lapin.
votre avatar
Jamais, il a vendu les français, c'est un traître. Au même niveau qu'un pirate Russe.
Intrusion ok, publication/vente non.
votre avatar
Il aurait fallu qu'il pirate autre chose que France Titres si il ne voulait pas balancer les français
votre avatar
Alors oui, complètement, ce gamin, parce qu'il s'agit d'un gamin, a commis un acte grave.
Mais déjà c'est un ado, quel ado n'a jamais fait de connerie ?
Ensuite, je pense qu'il faille au moins autant sanctionner tous ceux qui ont permis une pareille fuite par leur négligence / incompétence.
Ensuite si l'on devait mettre en zonzon tous ceux qui se fichent bien des autres français, pour faire ce qu'ils veulent / du business, il n'y n'aurait plus grand monde en liberté...
Parce que oui, il n'y a pas grand monde dans ce pays qui fait passer l'intérêt général des français.e.s avant leurs propres envies / désirs s'ils sont en contradictions.
Je rappelle juste, par exemple, qu'un ancien président de la république, ancien ministre de l'intérieur et tout un tas de ses compères ont pactisé avec des terroristes qui ont assassiné des dizaines de français dans un attentat et sont toujours en liberté.
Autre exemple, la chef d'un parti politique qui a détourné des millions d'euros de NOS impôts pour faire avancer sa carrière politique et ses idées nauséabondes, dont pour bcp, si ce n'est toutes, très néfastes pour la très grande majorité des français, et pareil, toujours en liberté.

Alors qu'on sanctionne le gamin, oui mais pas comme un adulte, et surtout qu'on lui donne toutes les clés pour comprendre la gravité de ce qu'il a fait.
Et puisqu'il a l'air un minimum doué, ou à tout le moins s'intéresse à l'informatique assisté par IA, oui je pense que ce serait une bonne chose que de l'encourager à s'améliorer mais pour faire des choses utiles, pour son pays par exemple, genre montrer aux bras cassés qui avaient en charge la sécurisation de nos données, comment il s'y est pris au minimum, et qu'on en tire des leçons pour sécuriser toutes les entités censées gérer nos données. Ça participerai à ce qu'on est pas au moins une fois par moi des millions de personnes qui voient leur données dans la nature.
votre avatar
15 ans != gamin, on est au lycée, on peut conduire un deux roues ou voiturette.
À 15 ans, on peut avoir plusieurs années d'auto-apprentissage en dev/hacking indépendamment de l'IA. IA qui a dû aussi indiquer que c'était illégal/interdit.

Justice des mineurs, oui, mais a vendu des données des français en toute conscience.
Je sépare l'acte du piratage et l'acte de publication et de la vente. Il aurait pu ne pas vendre et publier sur un forum illégal, genre signaler le problème ou ne rien faire et supprimer les données volées.

De plus, on est dans un contexte, connu publiquement, depuis plus d'un an, de fuites de données en série en France et dans le monde.
votre avatar
Pour la loi 15ans = enfant/mineur.

Pour la biologie l'adolescence, et notamment développement du cerveau (prises de risques bien supérieures à l'adulte parce que les capacités inibitrices sont immatures entre autres) c'est moyenne jusqu'à 25ans.

À 12 ans on a droit à un compte bancaire est ce pour autant qu'on est adulte ?

Voyez les adultes qui ont eu la "bonne" idée de coucher avec des personnes de 15ans, ils sont au regard de la loi des pédophiles (pédo = enfant).

Donc oui, que ce soit pénalement et surtout biologiquement 15ans =! adulte.

Et encore une fois, je n'ai jamais écrit ni pensé, que ses actes ne sont pas graves, mais ça n'empêche que c'est un enfant, que vous soyez d'accord ou pas, ce n'est pas une question d'opinion.
votre avatar
La majorité sexuelle, c'est à partir de 15 ans en France justement…
votre avatar
Est-ce que j'ai dis cela ?
Je suis pour la justice des mineurs, mais pas pour le déresponsabiliser, même si on peut se demander s'il est le seul coupable (la société, les parents, etc), pour ne pas le faire sortir 20 ans plus tard d'une prison surpeuplée (ce qui est aussi un scandale et réduit la réinsertion)
votre avatar
Est ce qu'un responsable de DSI peut être légalement inquiété de manquements sur son infra (autrement qu'en interne avec les RH) ? Du genre pas d’investissement, pas de mise à jour, ect...
votre avatar
Le principe même d'une DSI c'est d'acheter la tranquillité & l'irresponsabilité à d'autres "boites" , dans tous les sens du terme. Et le département juridique les aide en cela.

Donc pour moi, non. Jamais inquiété tant qu'il a acheté la bonne prestation au bon "partenaire de confiance que tout le monde prends".
votre avatar
Pour le public, je ne sais pas. Pour le privé, le responsable d'une entreprise au niveau pénal, c'est son dirigeant.

Bref, une vulgaire recherche de coupables sans réflexion.
votre avatar
Pour du pénal il faut soit qu'il y ait eu intention de nuire, soit une grave négligence en terme professionnelle.
Un DSI , en tous cas ceux que j'ai pu subir sont toujours davantage gestionnaires & financier qu'informaticiens et le comptable a le dernier mot dans les commités de directions où les sous-fifres sont pas invités.
Le mec sera peut-être viré pour faire bonne mesure mais c'est le pire qui pourrait lui arriver, je vois pas trop comment il pourrait être mis en cause plus que ça si il a suivi les "bonnes pratiques" notamment Anssi et si il est resté dans les clous en terme de choix de prestataires / fournisseur logiciels. Personne a jamais été mis en cause pour avoir choisis d'acheter tout chez Microsoft par exemple et c'est même souvent un argument entendu dans les sociétés.

Après au niveau civil, qu'il y ait des compensations, oui, ça OK. Mais ce sera la boite en tant qu'entité juridique qui paiera.

Si t'a une expérience différente, je suis curieux de l'entendre.
votre avatar
Je répondais sur le fait que le DSI puisse être légalement inquiété (et mis en garde à vu comme suggéré par le premier message) : l'entité juridique responsable sur le plan pénal (et civil aussi) reste l'entreprise représentée par son dirigeant.

Le DSI, il risque un licenciement pour faute grave, voire des poursuites de l'employeur. Sachant qu'il y a aussi tout le jeu des assurances et de responsabilités multiples dans les grandes organisations qui font qu'il est très rare d'avoir une seule personne responsable d'un vrai problème. Sauf à chercher un coupable / fusible pour se défausser.
votre avatar
Je ne sais pas si on cherche des responsables, en tout cas il y a des millions de victimes. À qui on va répéter que c'est la faute à pas de chance, que "votre vie privée est notre priorité".
Et puis fallait pas passer le permis, ils l'ont un peu cherché !
votre avatar
Désolé, j'ai juste tendance à préférer savoir ce qui s'est passé plutôt que de mettre les gens sur un bûcher tout de suite.
votre avatar
T'inquiète, le DSI est en sécurité. La police n'a pas lu mon commentaire et ne m'obéit pas.
Par contre elle a lu celui qui disait que le gamin de 15 ans devrait l'être, lui. Mais OSEF, lui on peut le mettre sur le bûcher, il n'est pas important.
votre avatar
Le gamin en question est soupçonné d'infractions pénales.

Le DSI devrait être mis en garde à vue sous quel motif ?
votre avatar
votre avatar
Quel passage précis justifierait une garde à vue ?

Ah oui, relire aussi l'article 84 du RGPD qui laisse aux états membres la détermination de sanctions autres que celles prévues au RGPD qui sont uniquement des sanction administratives.

La garde à vue n'est possible que lors d'une enquête judiciaire sur des faits passibles de sanctions pénales.
votre avatar
Depuis quand la CNIL peut-elle mettre en garde à vue quelqu'un ?

Quelles sont les points du RGPD qui ont été violés ici ? L'enquête a-t-il démontré une négligence de l'ANTS ?

Enfin, dans le cas présent, ce n'est pas le DSI (qui est ?) le responsable du traitement, mais l'ANTS, dont l'organigramme est disponible sur le site.
votre avatar
J'ai jamais dit que c'était à la CNIL de mettre en gàv :mdr:
Tu demandes un motif, je te donne l'article qui répond à ta question.
le responsable du traitement et le sous-traitant mettent en œuvre les mesures techniques et organisationnelles appropriées afin de garantir un niveau de sécurité adapté au risque, y compris entre autres, selon les besoins:
a) la pseudonymisation et le chiffrement des données à caractère personnel;

b) des moyens permettant de garantir la confidentialité, l'intégrité, la disponibilité et la résilience constantes des systèmes et des services de traitement;

Mais je pense que c'est un dialogue de sourd : même si je réponds aux questions, tu poseras une autre question, sans prise en compte de ma réponse. Donc j'ai tort, tu as raison, seul le gamin est concerné :francais:
votre avatar
Perso je bosse en cyber si je risque la GAV pour des failles , inévitable , je vais demander un salaire de 200k pour compenser le risque ou changer de boulot
votre avatar
Ce pays... Bientôt avec l'état de deliquescence de nos services étatiques, en primaire les gamins pourrons hacker l'Educ Nat et s'auto décerner un bac ou un BTS directement depuis le PC du fond de la classe pendant la récrée...
votre avatar
Mandatory xkcd :

https://xkcd.com/2385/
votre avatar
Je l'ai pas compris, celui-ci... 😭
votre avatar
En gros, les notes sont stockés sur le serveur ... et c'est un examen de cyber securité : la blague repose sur le fait que si les élèves veulent passer de "raté" à "réussi", ils ne reste plus qu'à pirater le serveur :)
votre avatar
https://www.explainxkcd.com/wiki/index.php/2385:_Final_Exam
(le but de l'examen est de hacker le serveur stockant les résultats pour être noté comme reçu)
votre avatar
Édit : grillé, faut que je rafraîchisse la page avant de répondre.
votre avatar
En même temps quand on voit la faille de sécu... Même un gamin de 10 ans aurait pu la trouver celle-là.
votre avatar
j'suis moins cappé "qu'un gamin de 10ans" alors... j'ai pas trouvé tout seul :pleure:
:-D
votre avatar
En même temps c'est rare qu'on cherche ce genre de chose sur un site d'Etat. Mais je ne suis pas spécialement étonné. Le plus énervant dans cette histoire c'est qu'on nous casse les c avec RGPD mais à côté de ça les services officiels de l'Etat n'ont aucune sécurité.
votre avatar
Manqué justement, c'était quoi ? Genre changer un ID sur une url pour passer à un autre élément ?
votre avatar
C'était quoi la faille de sécu ? J'ai pas souvenir d'avoir vu un article en parler.
votre avatar
Je pense qu'il fait référence à la rumeur comme quoi c'était simplement un ID autoincrémenté.

Mais de ce que j'ai vu jusqu'à présent, c'est une rumeur, pas un fait avéré.
votre avatar
Ah oui j'avais vu passer ça. Mais bon, rumeur quoi.
votre avatar
votre avatar
À par l'affirmation sans preuve que cette information vient du pirate, je ne vois aucun indice me permettant de juger de sa véracité.

Ce lien a déjà été posté ici, mais ça n'apporte rien sur sa crédibilité.
votre avatar
@fred42 la veille sans faille de Next :)
C'est moi qui l'avait posté (en disant que j'avais du mal à y croire)
votre avatar
C'est un signal que le MI doit absolument refonder de toute urgence l'intégralité de son SI sur des bases modernes et sécurisées (ce n'est pas le cas actuellement pour une grande part).
votre avatar
Attention à ne pas faire de contre sens.
Le signal en question n'a rien à voir avec l'application Signal. :)
votre avatar
L'informatique s'est imposée dans les années 90 puis 2000 comme un passage obligé : ça faisait "moderne" et pour les décideurs, il y avait un gain de productivité garanti à la clef (AKA une réduction des coûts).
25 ans plus tard, tout ou presque est numérisé, on est totalement dépendant de systèmes dont la maitrise est au mieux externalisée, au pire inexistante.
On a sacrifié notre vie privée et nos données professionnelles sur l'hôtel du "c'est super pratique" (ou "c'est moins cher").
C'est génial.
Mais...

  • les prix du matos et donc de l'hébergement et de la sous-traitance explose.

  • tous les systèmes sont des gruyères. Et si le grand public n'a pas l'air de réagir plus que ça, dans les entreprises, le damage control doit quand même couter du pognon (direct ou indirect).



Bref, on ne peut plus revenir en arrière, mais est-ce que les promesse initiales de l'informatisation sont tenues (productivité/baisse des coûts)?

Permettez moi d'en douter.

=> IA enter the chat
votre avatar
Toute l'histoire du capitalisme...
La course, pas éternelle du tout, contre l'érosion du taux de profit.
Un truc suicidaire dans lequel on est embarqué, qui déglingue tout sur son passage, et où les moins malheureux passent leur temps à se dire inconsciemment (ou non), "jusqu'ici ça tient !"
votre avatar
Ce qui ferait baisser les couts c'est de se passer d'imprimantes, avec les processus de plus ne plus dématérialisés on devrait pourtant réduire les impressions. Quand on nous dit que c'est du dématérialisé, mais que certains continuent à imprimer chaque mail qu'il reçoive
votre avatar
Je ne sais pas pour la baisse des coûts (quoique par exemple, à la Sécu ils ne traitent quasiment plus les feuilles maladie en papier donc gain de temps et d'argent, idem pour les déclarations d'impôts) mais pour l'utilisateur que je suis c'est plutôt positif (s'ils arrivaient à sécuriser correctement).

Dans les années 90, arriver à avoir une carte grise, un passeport ou une carte d'identité (ou autre document administratif), c'était un parcours du combattant, avec entre 2 et 3 visites aux préfectures (loin de chez toi), avec des files d'attentes énormes et évidemment le dernier document nécessaire que tu n'as pas sur toi à ce moment là ...
Résultat entre une à trois journées de congés 'grillées' rien que pour avoir un document ... qui arrivait 3 à 6 mois après.
Maintenant, tu fait tout via internet, tu prends rdv à une antenne de ta mairie (et même entre midi et deux) et tu as ton document rapidement.

Bref pour moi, les promesses de l'informatique pour les utilisateurs ont été tenues... Le truc c'est que maintenant, il va falloir que la sécurité des données ne soit plus la 5eme roue du carrosse, mais devienne une vraie priorité à tous les niveaux ...
votre avatar
N'empêche ce serait intéressant de connaître la méthode employée

Edit: Je viens de voir le lien de Zone démilitarisée. Si c'est confirmé c'est grave :stress: