Le 15 avril 2026, le portail de l’ANTS, l’Agence Nationale des Titres Sécurisés, a été piraté. C’est l’agence d’État qui gère tes demandes de passeport, de permis de conduire et de carte grise. Entre 18 et 19 millions de données de Français se retrouvent potentiellement dans la nature, en vente sur le dark web.

La faille utilisée ? Une vulnérabilité IDOR. Pour les non-techniciens : il suffisait de modifier un chiffre dans une requête API pour accéder aux données d’un autre citoyen. C’est une vulnérabilité enseignée dans les premiers cours de cybersécurité, tellement c’est basique. L’État gérant tes titres d’identité les plus sensibles, hacké par une faille de débutant.

Ce qui s’est retrouvé dans la base : ton prénom, ton nom, ta date et ton lieu de naissance, ton adresse postale complète, ton adresse email, ton numéro de téléphone. Pour ceux qui avaient des accréditations professionnelles, les numéros correspondants également.

L’ANTS a envoyé un mail à ses utilisateurs professionnels le jour même, le 15 avril. Le message se concluait par : « Vous n’avez ainsi aucune démarche à accomplir. » Techniquement exact. Mais quand on sait que 19 millions de profils étaient simultanément mis en vente sur le dark web, la formulation a de quoi laisser songeur. Il est possible que l’ANTS n’ait pas encore mesuré l’étendue exacte des dégâts au moment d’écrire ces lignes. Ce qui ne rend pas le message plus rassurant.

Ce que ces données permettent de faire, c’est précisément ce qui doit te préoccuper.

Le spear-phishing n’est pas du phishing

Je parle de spear-phishing sur ce blog depuis 2019. À l’époque, j’avais écrit que c’était la prochaine menace sérieuse. En 2026, ce n’est plus une prochaine menace. C’est la menace en cours.

Petit rappel pour ceux qui découvrent le sujet. Le phishing classique, c’est le filet de pêche : on ratisse large, on envoie le même mail à des millions de personnes, et on attend que quelques-unes se fassent attraper. Tu as reçu des mails de ta « banque » qui n’était pas ta banque, d’un service de livraison pour un colis que tu n’attendais pas. C’est ça, le phish ordinaire. Agaçant, mais relativement filtrable. On commence à bien le connaître.

Le spear-phishing, c’est la pêche au fusil sous-marin. On te vise toi, précisément toi. Le message a été construit avec tes données. Il mentionne ton nom, ton adresse, peut-être ta voiture ou un service public que tu as utilisé récemment. Il ne ressemble pas à un spam. Il ressemble à quelque chose que tu pourrais vraiment recevoir et cliquer.

Spam is annoying, phishing hurts. Le spam est agaçant, le phishing fait MAL. Le phishing quand il impacte sa cible, ce sont de vrais dégâts, du vrai argent, de vraies données qui sont volées. La cible a mal, elle pleure son passé envolé, elle est ruinée.

Ce que la fuite de l’ANTS change, c’est l’échelle. Avec un pack aussi complet — nom, prénom, date de naissance, adresse, email, téléphone, confirmé et vérifié par l’État — on peut désormais faire du spear-phishing comme on fait une campagne de spam. Industriellement. Automatiquement. Un agent IA reçoit la fiche, analyse tes réseaux sociaux pour identifier tes relations proches, ta famille, tes amis, tes fournisseurs habituels, tes collègues, forge un email crédible avec le bon contexte, le bon ton, les bonnes données, et l’envoie. Des millions de fois. En ciblant chaque victime individuellement.

Ce que j’avais prédit en 2019 comme scénario futur, les outils disponibles en 2026 permettent de le produire à la chaîne. Ta plaque d’immatriculation est dans cette fuite. Ce que ça permet de construire comme arnaque est suffisamment glaçant pour mériter un article à part entière, il sort dans la journée : [Ce que les hackers vont faire avec ta carte grise].

Tu lis des données personnelles dans un mail ? Ça ne veut plus rien dire.

C’est le premier réflexe à perdre, et le plus urgent.

Depuis des années, on a tous intégré un heuristique de confiance : si le mail mentionne mon nom, mon adresse, un élément que « seul l’expéditeur légitime pourrait connaître » alors c’est probablement lui. Ce raisonnement était déjà fragile. Avec la fuite de l’ANTS, il est définitivement caduc.

Désormais, un mail peut mentionner ton nom complet, ta date de naissance, l’adresse de ta maison et ton numéro de téléphone portable, et n’émaner d’aucun service légitime. Ces informations ne prouvent rien. Elles sont dans la nature. C’est de la data qui se monnaye.

Tu lis tes données personnelles dans un email ? Ça ne signifie pas que cet email est sûr. Ça ne l’a d’ailleurs jamais signifié — mais maintenant, c’est irréfutable.

Ce ne sera pas forcément l’ANTS qui frappera à ta porte

C’est l’autre point critique que je veux que tu intègres bien.

Le spear-phishing, c’est du marketing de hacker. Et un bon hacker se présentera toujours avec le bon masque. L’attaquant qui tient ta fiche ANTS ne va pas nécessairement te contacter au nom de l’ANTS, ce serait trop évident, trop attendu, trop filtrable.

Il va croiser tes données avec ton adresse et ce qu’il peut récupérer sur les réseaux sociaux. Ce que tu as posté, mais aussi tout ce dans quoi tu as été tagué, mentionné, associé. Il va reconstituer ton profil : l’assureur dont tu as partagé un avis, le garage qui a entretenu ta voiture, le groupe de musique dont tu es fan, la plateforme de jeux sur laquelle tu es actif, l’école de tes enfants, ton employeur, les commerçants de ton quartier. Toutes les données contextualisées qui font partie de ta vie et qui traînent sur internet. Et comme les sources disponibles sont nombreuses, le profil s’enrichit facilement, jusqu’à trouver le bon angle d’attaque, celui qui va faire mouche avec toi.

Il va ensuite choisir l’émetteur qui fait le plus sens pour toi, à ce moment précis. Et il va forger un email qui ressemble exactement à ce que cet émetteur t’enverrait.

Les scénarios sont nombreux. Un mail de ta mutuelle qui te demande de valider ta prise en charge. Un message de ton opérateur internet qui t’alerte sur un accès suspect à ton compte. Une notification de la CAF ou des impôts. Un email de ton fournisseur habituel avec une facture légèrement modifiée et un nouveau RIB. Une alerte de sécurité de ta banque. Ou plus simplement, le boucher ou la boulangère de ton quartier qui te demande de cliquer sur le lien j’aime pour l’aider à gagner en visibilité. C’est pas the girl next door mais l’email next door. Aucun enjeu apparent, aucune demande d’argent, pas un inconnu. C’est le voisin, la commerçante que tu connais depuis dix ans. Aucune raison de se méfier, et c’est précisément pour ça que tu ne te méfies pas. Tu poses un j’aime, comme sur les réseaux sociaux, par réflexe, et tu passes à autre chose.

Dans chaque cas, le but est le même. Te faire cliquer une seule fois. Une seule fois, c’est suffisant. Même ce clic anecdotique, celui que tu fais sans y penser. Sur un lien qui t’emmène vers un site caméléon qui aspire tes identifiants. Sur une pièce jointe qui installe silencieusement un logiciel malveillant sur ta machine ou ton téléphone. Sur un formulaire qui te demande de « confirmer tes coordonnées bancaires ». Parfois, l’objectif n’est même pas visible immédiatement : c’est une backdoor posée discrètement, qui sera activée dans six mois.

Et attention : le vecteur, ce n’est pas forcément un email. Le spear peut arriver par SMS ou RCS, par un appel téléphonique où quelqu’un qui « connaît ton dossier » te demande de confirmer des informations. Par une messagerie instantanée, WhatsApp ou autre. Par un message privé sur un réseau social. La mécanique est identique, seul l’habillage change. Et sur ces canaux, le réflexe de méfiance est encore moins présent que sur l’email.

D’ailleurs à ce sujet : ton téléphone est encore plus exposé que ton ordinateur. L’interface mobile te montre moins d’informations, les liens sont tronqués, l’expéditeur est résumé en quelques caractères, les pièces jointes s’ouvrent en un tap. Et qui a une protection efficace sur son téléphone ? Très peu de monde. C’est du pain béni pour les hackers.

Vérifie si tu es concerné — et reviens dans quelques semaines

Il existe un service gratuit et de référence pour savoir si ton adresse email figure dans des bases de données piratées connues : Have I Been Pwned (haveibeenpwned.com). Tu entres ton adresse email, le site te liste toutes les fuites documentées dans lesquelles elle apparaît. J’en avais déjà parlé en 2019 à l’occasion d’un spear-phishing que j’avais reçu et identifié en temps réel.

Pour la fuite de l’ANTS : elle n’est probablement pas encore intégrée dans la base de Have I Been Pwned au moment où tu lis ces lignes. Ces référencements prennent quelques semaines. Mais va vérifier quand même. Tu découvriras peut-être que ton adresse figure déjà dans d’autres fuites antérieures dont tu n’avais pas connaissance. Et reviens dans un mois pour voir si l’ANTS y est apparue.

Et ton entreprise, dans tout ça ?

La fuite de l’ANTS touche des particuliers. Mais elle concerne aussi tes clients, tes collaborateurs, tes fournisseurs. Et par rebond, elle te concerne toi en tant que propriétaire d’un domaine.

Voici le scénario qui va se construire. L’attaquant a la fiche complète d’un de tes clients. Il sait où il habite, connaît son email. Il identifie l’entreprise avec laquelle cette personne travaille ou une entreprise connue dans sa région. Il forge un email qui semble venir de toi, avec ton domaine en signature. Et il fait une dernière vérification, simple et automatisable : est-ce que ce domaine a DMARC correctement configuré, ou est-il en mode p=none ? Autrement dit : est-ce que ça va passer comme une lettre à la poste ? C’est le cas dans la grande majorité des domaines en 2026.

L’email est envoyé. Ton domaine vient d’être usurpé comme vecteur d’une arnaque dont tu ne sais même pas qu’elle a eu lieu.

Sans configuration DNS correcte — SPF, DKIM, DMARC en mode rejet — tu n’es pas seulement vulnérable. Tu rends les autres vulnérables. Ton domaine peut être utilisé pour spear-phisher tes clients, tes partenaires, tes prestataires. Et ils n’ont aucune raison de douter d’un mail qui semble venir de toi.

La bonne nouvelle, c’est que DMARC bien configuré coupe court à ce scénario : les mails forgés avec ton domaine n’arrivent tout simplement pas à destination. Ils sont soit filtrés en spam, soit rejetés directement par le serveur du destinataire. Tu ne rends plus personne vulnérable à travers toi.

Ce que tu peux faire, maintenant

Si tu t’y connais un peu en email et que tu sais lire un en-tête de message : vérifie l’expéditeur réel, regarde l’enveloppe technique du mail pour y détecter des incohérences, et survole les liens avant de cliquer pour voir s’ils pointent là où ils prétendent pointer. Ces réflexes existent et ils sont utiles.

Si tu n’y connais pas grand-chose : ne clique sur aucun lien dans un email qui sollicite une action, même si le message te semble parfaitement légitime et mentionne des données personnelles exactes. Va directement sur le site concerné en tapant l’adresse dans ton navigateur. C’est la règle la plus simple et la plus efficace.

Active la double authentification partout où c’est disponible — messagerie, banque, impôts, réseaux sociaux. C’est la seule protection réelle quand un mot de passe est compromis.

Mets à jour ton système et tes applications. Systématiquement. Les failles exploitées dans les pièces jointes et les liens malveillants sont souvent des failles déjà corrigées sur les machines qui ont fait leurs mises à jour.

Et si tu es propriétaire d’un nom de domaine et que tu ne sais pas où tu en es avec ton DMARC — si tu ne sais pas si ton domaine est correctement protégé, ou simplement comment faire — c’est exactement mon métier. Tu peux me contacter.

La fuite de l’ANTS n’est pas une nouvelle de plus dans le flux. C’est une infrastructure d’attaques qui vient d’être mise en place, patiemment, contre 19 millions de Français. Elle sera utilisée dans les prochains mois. La question n’est pas si tu vas recevoir quelque chose. C’est quand, et si tu seras prêt.

Charles Boone