Quinze ans, et déjà soupçonné d'avoir contribué à une fuite qui a exposé 12 millions de comptes français sur le portail de l'Agence nationale des titres sécurisés. La procureure de Paris a annoncé ce 30 avril l'interpellation et la garde à vue d'un adolescent, deux semaines après l'attaque du 15 avril contre l'ANTS, l'une des plus grosses fuites administratives françaises.
Une fuite massive sur le portail des titres d'identité
L'ANTS, c'est l'agence qui gère les demandes de carte d'identité, de passeport, de permis de conduire et de carte grise pour les Français. Le 15 avril, son portail a été ciblé par un hacker se faisant appeler breach3d, qui a réussi à exfiltrer une base contenant nom, prénoms, date de naissance, email, identifiant de connexion et identifiant unique du compte. Le ministère de l'Intérieur a confirmé 12 millions de comptes touchés, particuliers et professionnels confondus. Mais le hacker, lui, revendique entre 18 et 19 millions d'enregistrements mis en vente sur un forum cybercriminel. Le décalage entre les deux chiffres reste flou côté autorités.
Une faille IDOR connue depuis des années
La technique utilisée est tristement basique. Une vulnérabilité de type IDOR sur l'API liée à moncompte.ants.gouv.fr permettait simplement de modifier un identifiant numérique dans une requête pour accéder aux données d'un autre utilisateur.
Aucune authentification supplémentaire, aucun contrôle de propriété sur la ressource demandée. Le hacker éthique Baptiste Robert avait alerté dès 2017 sur ce genre de failles côté ministère de l'Intérieur, sans visiblement réussir à faire bouger les lignes. Du coup la faille est restée exploitable pendant des années avant qu'un attaquant motivé ne s'en serve à grande échelle.
Une enquête OFAC et de la vigilance à avoir
L'ANTS a notifié la CNIL, et un signalement a été transmis à la procureure de Paris. L'enquête a été confiée à l'Office anti-cybercriminalité, qui a abouti à l'interpellation du mineur aujourd'hui. La procureure parle d'un adolescent soupçonné d'avoir contribué à l'attaque, ce qui laisse entendre que d'autres profils sont dans le viseur des enquêteurs. Côté usagers, si vous avez un compte ANTS, attendez-vous à recevoir des tentatives de phishing de plus en plus précises dans les semaines à venir, basées sur vos vraies données. Méfiez-vous de tout email ou SMS prétendant venir de l'ANTS, du ministère ou des préfectures.
On en dit quoi ?
La vulnérabilité était connue, documentée, signalée depuis presque dix ans, et personne n'a corrigé. C'est ce genre d'histoire qui rappelle pourquoi la cybersécurité côté État reste un chantier permanent et trop souvent sous-financé. Le gamin de 15 ans, lui, ne mérite pas qu'on en fasse une icône non plus : la fuite va coûter cher en phishing aux 12 millions de personnes concernées, et ça va polluer leurs boîtes mail pendant des années.
