● Journal du Net 📅 05/05/2026 à 11:09

👤 Christophe Mazzola

🏷️ Tags : free rte

Lecornu parle de "casse du siècle" sur l'ANTS. C'est un casse de TP étudiant. Une faille de 2007. Avec 200 millions d'euros d'effet d'annonce par-dessus. Vous avez peut-être reçu ce courriel le 15 avril. L’objet est neutre, le ton rassurant. Il vous explique qu’un accès non autorisé a touché vos données sur le portail de France Titres, ex-ANTS. Il énumère ce qui a fuité, votre nom, votre adresse, votre date de naissance, votre numéro de téléphone. Il se conclut par cette phrase, " Vous n’avez ainsi aucune démarche à accomplir ". Vous l’avez relue deux fois. Vous avez cherché, dans la formule, ce qui clochait. Voilà ce qui clochait. La phrase est exacte sur le plan technique, et grotesque sur le plan symbolique. Elle vous dit qu’il n’y a rien à faire, parce qu’effectivement, il n’y a rien à faire. C’est précisément le problème. Le pirate, un mineur de 15 ans interpellé fin avril, a exploité une faille dont vous n’avez pas besoin de retenir le nom technique. Elle s’appelle IDOR, pour Insecure Direct Object Reference. Elle figure dans le top 10 OWASP depuis 2007. C’est l’exemple canonique enseigné en première semaine de tout cursus de cybersécurité. Concrètement, il suffisait de modifier un chiffre dans une adresse pour récupérer le dossier d’un autre citoyen. Pas de zero-day. Pas d’opération étatique. Pas de génie criminel. Le pirate lui-même a qualifié la faille de " vraiment stupide ". Elle l’est. Elle existait depuis dix-neuf ans dans les manuels, dans les référentiels, dans les guides ANSSI, dans les checklists OWASP. Elle est restée ouverte sur un portail régalien qui gère les titres d’identité de dizaines de millions de Français. Je suis RSSI d’une société qui développe des applications. Si l’un de nos développeurs livrait en production une API exposée à une faille IDOR sur des données personnelles, il perdrait son poste dans la journée, et moi presque dans la même semaine. Pas par sévérité. Parce que c’est inadmissible. Pas une question d’opinion, une question de métier. Nous faisons tourner des outils d’analyse statique automatique qui coûtent quelques milliers d’euros par an et qui détectent ce type de vulnérabilité avant tout passage en production. Nous mandatons des tests d’intrusion plusieurs fois par an, sur des périmètres rotatifs, pour valider ce que les outils n’ont pas vu. Nous ne sommes pas une multinationale, nous sommes une organisation de taille raisonnable avec des budgets contraints. L’ANTS dispose en 2026 d’un budget propre supérieur à 315 millions d’euros. L’État consacre entre 700 millions et un milliard d’euros par an à la cybersécurité. Les outils existent. Les méthodes existent. Les budgets existent. Ce qui manque, c’est la discipline d’exécution, et personne n’achète de la discipline d’exécution avec un chèque de 200 millions annoncé en pleine crise. Je l’ai déjà écrit. Sur ce blog, en analysant la feuille de route cybersécurité de l’État publiée le 9 avril 2026, soit six jours avant le piratage de l’ANTS, j’ai expliqué que ce document disait tout sans le vouloir. Il listait avec une lucidité presque clinique les défaillances structurelles du dispositif français. Authentification multifacteur à généraliser sur les systèmes à enjeux d’ici février 2027. Suppression des comptes génériques d’ici juin 2026. Tests annuels systématiques des plans de reprise. Tout cela était dans le texte. Tout cela existait sur le papier. Et le 15 avril 2026, six jours après la publication, un portail régalien tombait sur une faille de 2007. J’ai aussi parlé sur CNews de l’écart entre la régulation française et l’exécution opérationnelle. Ce n’est pas une posture de circonstance. C’est une lecture cohérente, depuis des mois, d’un système qui produit du référentiel de qualité internationale et qui se révèle incapable d’appliquer ses propres exigences sur ses propres portails. Le 30 avril, le Premier ministre Sébastien Lecornu s’est rendu à France Titres avec quatre ministres pour annoncer une série de mesures. Une enveloppe de 200 millions d’euros débloquée dès début mai, dans le cadre du programme France 2030 lancé en 2021. Une autorité numérique de l’État à créer. Une fusion des directions interministérielles DITP et DINUM. Des amendes CNIL réorientées vers un fonds de modernisation. Des scénarios de blackout numérique à concevoir, avec hypothèse explicite d’une administration américaine qui priverait la France d’outils. Des tests de vulnérabilité à mener à l’échelle des ministères. Sur le papier, c’est une réponse complète. Dans les faits, c’est de la communication budgétaire. Parce que l’enveloppe globale n’est pas le problème. Parce que la fusion d’organigrammes ne crée pas de pouvoir d’injonction si le législateur ne l’inscrit pas dans la loi. Parce que les tests de vulnérabilité auraient dû tourner en continu sur les portails régaliens depuis des années, et qu’ils ne tournent toujours pas à ce jour de manière obligatoire et vérifiée. Le mot juste pour décrire ce qui se passe est celui d’arrière-pensée. Dans le pilotage de l’État numérique français, la cybersécurité est une arrière-pensée. On la traite comme un coût défensif qui s’ajoute en bout de chaîne, après la conception du service, après le développement, après la mise en production. On l’invoque dans les discours, on la cite dans les feuilles de route, on lui consacre des sommets et des plans. Mais on ne la planifie pas en amont, dans le cahier des charges, dans la revue de code, dans les tests de pré-production. Or la cybersécurité ne se décrète pas après l’incident. Elle se construit au moment où l’on dessine l’architecture, où l’on choisit le format de l’identifiant utilisateur, où l’on écrit la première ligne de code, où l’on définit la matrice de droits. La faille IDOR de l’ANTS n’a pas surgi par accident en avril 2026. Elle a été codée à un moment précis, par quelqu’un, sans contre-vérification, sans test automatisé, sans audit indépendant ultérieur. Et elle est restée ouverte parce que personne, dans la chaîne, n’avait l’autorité ni la mission de la détecter. Il y a un détail qu’il faut prendre au sérieux. En septembre 2025, des données prétendument issues de l’ANTS avaient déjà circulé sur le dark web, évoquant 12 millions de comptes. L’ANSSI avait alors conclu à un recyclage de fuites antérieures et écarté l’hypothèse d’une intrusion. Sept mois plus tard, la même volumétrie ressort, cette fois confirmée. Soit la faille IDOR était déjà active à l’automne 2025 et l’alerte a été traitée comme un faux positif. Soit deux intrusions successives ont exploité la même vulnérabilité, sans qu’aucune correction n’intervienne entre les deux. Dans les deux cas, on est exactement sur ce que j’appelle l’écart décisionnel. Ce moment où une organisation détient l’information utile, dispose des moyens d’agir, et ne le fait pas. Pas par malveillance. Par biais cognitif. La validation sociale au sein de la chaîne hiérarchique normalise le faux positif. La pression de continuité d’activité diffère l’audit approfondi. Le coût perçu de l’investigation paraît supérieur au risque perçu de l’incident. Tous les ingrédients sont réunis pour que l’organisation qui sait n’agisse pas. La psychologie organisationnelle est ici plus déterminante que la technique. L’ANTS n’est pas un cas isolé. Depuis début 2024, la France a connu Free, France Travail, Cegedim Santé, des fédérations sportives entières, l’UNSS, trois ARS, les fichiers TAJ et FPR. La CNIL a enregistré 8 163 notifications de violations de données entre septembre 2024 et septembre 2025, en hausse de 45 % sur un an. La France est devenue, en 2025, le deuxième pays au monde pour les comptes volés rapportés à la population. Aucune annonce ne traite ce pattern comme un pattern. Chaque incident est commenté comme un événement isolé, traité par une rallonge budgétaire, et oublié à mesure que le suivant arrive. C’est précisément ce que je voulais dire en parlant d’arrière-pensée. Tant que la cybersécurité reste une réaction à l’incident plutôt qu’une discipline d’amont, on signera tous les chèques de 200 millions du monde sans corriger l’écart. Vous avez relu le courriel du 15 avril. Vous l’avez trouvé étrange. Vous aviez raison. Ce qu’il vous disait, c’est que vous n’aviez aucune démarche à accomplir. Ce qu’il ne disait pas, c’est qu’il n’y aurait pas non plus, côté État, de démarche accomplie au-delà des annonces. La faille de l’ANTS est de 2007. La discipline d’exécution qui aurait dû la corriger, on l’attend depuis aussi longtemps.

🔗 Lire l'article original 👁️ 0 lecture