Note : cet article fait suite à Fuite ANTS : 19 millions de raisons d’être parano. Il peut se lire indépendamment.

Tu as reçu un avis de contravention ANTAI. Ton nom, ton adresse, ta plaque, le montant, le délai avant majoration, le lien pour payer. Tout est correct. Tout est à toi. Sauf que tu n’as rien fait.

Ou peut-être que si, d’ailleurs. C’est ça le problème. Tu n’en es plus sûr.

Tu cliques. Tu paies. Et tu viens de te faire détrousser en trente secondes, avec tes propres données.

Les faux avis ANTAI, c’est pas nouveau. Mais avant, ça se voyait.

Les arnaques aux faux avis de contravention existent depuis des années. Elles ont toujours eu le même défaut : elles sonnaient faux. Mauvais nom, mauvaise plaque, mauvaise adresse, mise en page approximative, montants qui ne correspondent à rien. Le genre de truc qu’on repère en deux secondes quand on fait attention.

Il y avait un autre marqueur utile : l’ANTAI envoie des emails de contravention, mais uniquement dans des cas précis — interpellation avec email communiqué à l’agent, désignation par un tiers, ou email enregistré dans le système d’immatriculation des véhicules. Et surtout : l’ANTAI n’envoie jamais de SMS. Zéro. Si tu recevais un SMS te demandant de payer une amende, c’était forcément une arnaque. Ce filtre fonctionnait à peu près.

Avec la fuite de l’ANTS, ce filtre ne fonctionne plus.

Ce qu’ils ont — et ce qu’ils vont compléter.

Soyons précis sur ce qui a fruité. Les données compromises confirmées sont les suivantes : identifiant de connexion, civilité, nom, prénom, adresse email, date de naissance, et pour certains comptes adresse postale et informations professionnelles. Les documents transmis dans le cadre des démarches administratives n’auraient pas été compromis.

La plaque d’immatriculation ne figure pas explicitement dans les données officiellement annoncées comme exposées.

Alors l’article s’arrête là ? Non. Parce que ce que la fuite de l’ANTS fournit, c’est le trousseau de base. Et avec ce trousseau, un agent IA complète le profil.

C’est ce qu’on appelle l’appending : l’enrichissement automatisé d’une fiche à partir de sources croisées. L’agent dispose de ton nom, ton adresse, ton email. Il va chercher ta plaque. Les sources disponibles sont nombreuses : des sites de vérification d’immatriculation accessibles librement, des bases de données de revente de véhicules d’occasion où ta voiture a peut-être été annoncée un jour, tes propres réseaux sociaux où tu as posté une photo de ton véhicule sans même t’en souvenir. Et s’il ne trouve pas, il continue à croiser avec d’autres fuites antérieures. La fuite de l’ANTS n’est pas la première, elle ne sera pas la dernière, et les bases se recoupent.

En quelques minutes, la fiche est complète. Nom, adresse, email, téléphone — validés par l’État — plus plaque, marque, modèle, et tout ce que tes réseaux ont laissé fuiter sur toi sans que tu t’en aperçoives.

Et là, l’IA entre en jeu.

Avec une fiche complète, construire un faux avis ANTAI crédible est devenu trivial. Mais les hackers ne s’arrêtent pas au format. Ils optimisent le motif.

Un avis qui mentionne une infraction dans une rue où tu ne passes jamais, ou un type de verbalisation inexistant dans ta commune, peut encore faire tiquer. Avec un agent IA, ce problème disparaît.

L’agent croise ton adresse avec les données géographiques publiques — de l’open data librement accessible sur data.gouv.fr : type de voirie, zones de stationnement réglementé, présence de radars fixes, carrefours équipés pour la vidéoverbalisation, couloirs de bus, zones de livraison. Il établit en quelques secondes la liste des motifs de verbalisation statistiquement plausibles dans ton secteur, pour ton type de véhicule. Il choisit celui qui fait le plus sens.

Mais il y a un scénario encore plus redoutable, et celui-là déjoue tous les filtres qu’on s’est construits au fil du temps.

Tu es en vacances. Tu l’as mentionné sur Instagram, sur Facebook, dans un post LinkedIn. L’agent le sait. Il sait aussi où tu es. Et il génère un avis de contravention pour le lieu exact de tes vacances — stationnement irrégulier sur la promenade que tu longes chaque matin, radar sur la route de montagne que tu as prise avant-hier. Ta réaction instinctive : ça ne peut pas être une arnaque, je suis vraiment là-bas. C’est précisément pour ça que ça marche. L’impact psychologique est maximal, tous tes filtres sautent d’un coup.

Mais tu n’as pas besoin d’être en vacances pour tomber dans le piège. Tu n’as même pas besoin d’avoir un compte sur les réseaux sociaux, ni d’avoir jamais rien partagé en ligne. Ton adresse suffit. L’agent croise ton adresse avec la voirie de ton quartier, identifie les zones de stationnement réglementé à deux rues de chez toi, et génère un avis parfaitement plausible pour quelqu’un qui habite là où tu habites. Ce deuxième scénario se déploie à l’échelle industrielle, sur les 19 millions de fiches, qu’elles partent en vacances ou pas.

Étape par étape : comment tu te fais embrocher.

Pour que ce soit concret, voilà la séquence complète — version vacances, le scénario le plus redoutable.

L’attaquant dispose de ta fiche ANTS enrichie. Il sait que tu es en vacances en Bretagne parce que tu l’as posté. Il génère un avis de stationnement irrégulier sur le port de la ville où tu séjournes, 35 euros, à régler avant le 15 sous peine de majoration à 75 euros. Ton nom, ton adresse, ta plaque. Format ANTAI impeccable, expéditeur qui ressemble à nepasrepondre_noreply@antai.gouv.fr avec un caractère subtilement modifié. Il envoie l’email à l’adresse de ta fiche ANTS. Quelques jours plus tard, il envoie un SMS de relance — tu sais que l’ANTAI n’envoie jamais de SMS, mais là tu y crois tellement que tu ne vérifies même plus.

Tu reçois l’email. La somme est petite, l’urgence réelle, et tu étais bien là-bas. Tu cliques sur le lien. La page qui s’ouvre ressemble à celle de l’ANTAI. Tu entres tes coordonnées bancaires. La page confirme le paiement.

Il n’y avait pas de contravention. Il n’y avait pas de page ANTAI. Il y avait un formulaire qui vient de collecter tes données bancaires.

Trente secondes. C’est tout ce qu’il faut.

Ce que tu fais quand tu reçois un avis.

La règle est simple, et elle s’applique à tout ce qui arrive par email ou SMS et sollicite une action : ne clique jamais sur le lien. Va directement sur antai.gouv.fr en tapant l’adresse dans ton navigateur, et vérifie si une contravention est bien enregistrée à ton nom. Si elle n’y est pas, l’avis est un faux.

Vérifie l’adresse expéditeur avant tout. L’adresse officielle est nepasrepondre_noreply@antai.gouv.fr, et un seul caractère modifié suffit à créer une adresse frauduleuse visuellement identique. Et si tu reçois un SMS te parlant d’une amende : arnaque, sans exception possible. L’ANTAI ne fait pas de SMS, jamais.

Active la double authentification sur tous tes comptes sensibles. C’est la seule protection réelle quand un identifiant est compromis.

Et si tu es propriétaire d’un nom de domaine : la même mécanique peut être utilisée pour forger des emails qui semblent venir de toi, ciblant tes clients ou tes contacts. Un DMARC correctement configuré coupe ce scénario à la racine. Si tu ne sais pas où tu en es, c’est le moment de vérifier.

La fuite de l’ANTS a mis entre les mains de gens mal intentionnés un trousseau de clés. Ils ne vont pas le laisser rouiller. La question n’est pas si tu vas recevoir quelque chose. C’est quand, et si tu seras prêt.

Charles Boone Fondateur de Wefficient, auteur de Snipemail.com depuis 2006.