La compromission de 19 millions de données personnelles via une faille IDOR élémentaire sur le portail de l’ANTS révèle-t-elle une faiblesse structurelle dans la gouvernance et la sécurisation des systèmes d’information publics ?

La compromission de 19 millions de données personnelles via une faille IDOR élémentaire sur le portail de l’ANTS révèle-t-elle une faiblesse structurelle dans la gouvernance et la sécurisation des systèmes d’information publics ?

Le 15 avril 2026, le portail France Titres (ANTS) a été victime d’une exploitation massive d’une vulnérabilité de type Insecure Direct Object Reference (IDOR). En modifiant un simple paramètre numérique dans l’URL, il était possible d’accéder aux données d’autres usagers.

Cette faille, pourtant bien documentée et aisément détectable lors d’audits de sécurité standards, aurait permis l’exfiltration de près de 19 millions de profils (identité complète, coordonnées, données de naissance). Les informations, certifiées par l’État Français, circuleraient désormais sur des forums clandestins. La communication institutionnelle, jugée minimaliste, contraste avec la gravité des risques encourus (usurpation d’identité, fraude ciblée).

Cet incident s’inscrit dans une série récente d’atteintes touchant d’autres organismes publics, suggérant des défaillances récurrentes en matière de contrôle qualité, de tests d’intrusion et de supervision continue. Au-delà du cas français, cet épisode interroge la robustesse des stratégies de dématérialisation.

Pour les États engagés dans le déploiement d’identités numériques, notamment en Afrique, l’enjeu est clair : intégrer la sécurité dès la conception (security by design), imposer des audits indépendants réguliers et renforcer la gouvernance cyber afin de prévenir des crises de confiance majeures.