Cyberattaque contre l’ANTS : un adolescent de 15 ans interpellé pour le piratage des données de millions de Français
Deux semaines après la cyberattaque qui a exposé les données personnelles de millions de Français ayant demandé un passeport ou une carte d’identité, le parquet de Paris vient de révéler l’identité du suspect principal. Et son profil a de quoi surprendre : il n’a que 15 ans. Interpellé le 25 avril, le mineur a été placé en garde à vue avant d’être présenté à des juges d’instruction. Retour sur une affaire qui illustre la vulnérabilité des systèmes informatiques de l’État.
Une faille béante dans les serveurs de l’État
Mi-avril, l’Agence nationale des titres sécurisés (ANTS) — le portail par lequel transitent toutes les demandes de passeports, cartes d’identité et permis de conduire — a été la cible d’une attaque informatique d’ampleur. Les premières estimations évoquent jusqu’à 11,7 millions de Français potentiellement concernés par cette fuite de données.
Noms, prénoms, adresses, numéros de téléphone, adresses e-mail et parfois même des photos d’identité : les informations aspirées couvrent un spectre large. Suffisamment large pour alimenter des campagnes d’hameçonnage ciblées ou des usurpations d’identité pendant des mois, voire des années. L’ampleur de la brèche a poussé la CNIL à ouvrir une enquête pour déterminer si l’ANTS avait pris les mesures de sécurité nécessaires pour protéger ces données sensibles.
Dans ce contexte, les enquêteurs s’attendaient à remonter la piste d’un réseau organisé, peut-être basé à l’étranger. Ce qu’ils ont trouvé est autrement plus déroutant.
Un lycéen derrière l’une des plus grosses fuites de données de l’État
Le 25 avril, soit dix jours après la révélation publique de l’attaque, les forces de l’ordre interpellent un adolescent de 15 ans. Le jeune homme est immédiatement placé en garde à vue. Le parquet de Paris confirme l’information ce jeudi 30 avril par la voix de la procureure de la République Laure Beccuau.
Les faits reprochés au mineur sont lourds. Dans son communiqué, la procureure détaille des infractions constitutives d’« atteintes à un système de traitement automatisé de données à caractère personnel mis en œuvre par l’État ». Concrètement, cela recouvre l’accès frauduleux au système, le maintien non autorisé, l’extraction de données, leur transmission et leur détention. Autant de chefs qui, même pour un mineur, exposent à des sanctions pénales significatives.
Le parquet a requis la mise en examen de l’adolescent ainsi que son placement sous contrôle judiciaire. La saisine de juges d’instruction, intervenue mercredi, laisse entendre que l’enquête est loin d’être terminée. Les magistrats voudront notamment déterminer si le lycéen a agi seul ou s’il a été téléguidé par des individus plus expérimentés. Car pirater un portail gouvernemental, même mal sécurisé, n’est pas à la portée de n’importe quel amateur.
Des mineurs de plus en plus présents dans la cybercriminalité
L’affaire peut sembler isolée. Elle ne l’est pas. Ces dernières années, les profils de hackers mineurs se multiplient dans les dossiers judiciaires français et européens. En 2022, un adolescent britannique de 17 ans avait été arrêté pour son rôle présumé dans le groupe Lapsus$, responsable de piratages contre Uber, Microsoft et Samsung. En France, plusieurs affaires récentes impliquent des mineurs dans des vols massifs de données.
L’accès à des outils de piratage est devenu trivial. Des tutoriels circulent sur des forums accessibles en quelques clics, et certains logiciels malveillants se vendent pour quelques dizaines d’euros en cryptomonnaies sur le dark web. Un adolescent doué en informatique, disposant de temps libre et d’une connexion internet, peut théoriquement compromettre des systèmes que l’on imagine inviolables. Le résultat : des institutions publiques piratées par des individus qui n’ont même pas encore passé le bac.
Ce phénomène interroge autant sur la sécurité des infrastructures étatiques que sur l’encadrement numérique des plus jeunes. Mais avant de pointer du doigt l’adolescent, encore faut-il comprendre ce qui a rendu cette attaque possible.
À lire aussi
L’ANTS dans le viseur : des failles connues depuis longtemps ?
Les spécialistes en cybersécurité n’ont pas attendu cette affaire pour alerter sur les lacunes du portail de l’ANTS. Depuis plusieurs années, des rapports soulignent le sous-investissement chronique de l’État français dans la protection de ses systèmes informatiques. La Cour des comptes elle-même a pointé, dans un rapport de 2023, le retard pris par certaines administrations en matière de sécurisation des données personnelles.
La question de la responsabilité de l’ANTS est désormais posée officiellement. La CNIL pourrait, à l’issue de son enquête, imposer une amende à l’agence si elle estime que les mesures de protection étaient insuffisantes. Un paradoxe qui n’a échappé à personne : une éventuelle sanction financière serait in fine payée par les contribuables — les mêmes dont les données ont été exposées.
D’autres organismes publics et privés ont récemment fait les frais d’attaques similaires. Basic-Fit a vu les données bancaires d’un million de membres fuiter. Orange a été visé par une attaque perturbant ses services pendant plusieurs jours. Darty a vu 80 000 clients exposés. Et le fichier des propriétaires d’armes à feu a lui aussi été compromis. La liste s’allonge à un rythme inquiétant.
Que risquent concrètement les millions de Français touchés ?
Si vos données figurent parmi celles extraites du portail de l’ANTS, les risques sont réels mais identifiables. Le premier danger est l’hameçonnage ciblé : des e-mails ou SMS se faisant passer pour l’administration, contenant votre vrai nom et votre adresse, vous demandant de « mettre à jour » vos informations sur un faux site. Ce type d’arnaque sophistiquée est bien plus convaincant quand les escrocs disposent de vos vraies coordonnées.
Le second risque concerne l’usurpation d’identité. Avec un nom, une adresse et une photo d’identité, il est théoriquement possible de monter un faux dossier de crédit ou d’ouvrir un compte bancaire frauduleux. Les experts recommandent de surveiller régulièrement vos relevés bancaires et de vérifier si vos informations circulent sur le dark web.
Pensez également à activer la double authentification sur tous vos comptes sensibles et à mettre en place une liste blanche de prélèvements auprès de votre banque pour bloquer toute opération non autorisée. Des gestes simples, mais que trop peu de Français adoptent.
Un mineur face à la justice : et maintenant ?
Placé sous contrôle judiciaire, l’adolescent de 15 ans attend désormais les suites de l’instruction. En droit français, un mineur de cet âge relève du tribunal pour enfants. Les peines encourues sont réduites par rapport à celles d’un majeur, mais elles ne sont pas symboliques pour autant. Le code pénal prévoit jusqu’à cinq ans d’emprisonnement et 150 000 euros d’amende pour l’accès frauduleux à un système informatique étatique — des peines divisées par deux pour un mineur de plus de 13 ans.
L’enquête devra aussi répondre à des questions cruciales. Comment un adolescent a-t-il pu, seul ou accompagné, accéder à un système censé être protégé par les standards de sécurité les plus élevés de l’administration ? Les données extraites ont-elles déjà été revendues ou diffusées ? D’autres complices sont-ils impliqués ? Les cyberattaques récentes contre des banques françaises pourraient-elles être liées ?
Pour l’heure, le parquet de Paris reste prudent et ne communique que par bribes. Une chose est certaine : cette affaire illustre, de manière presque caricaturale, le décalage entre la sophistication croissante des jeunes hackers et la lenteur avec laquelle les institutions adaptent leurs défenses. L’État français protège les titres d’identité de millions de citoyens. Il aura fallu un lycéen pour rappeler à quel point cette protection restait fragile.