Blog
Protection contre les menaces
ANTS cyberattack: when government communication Mirrors the attacker playbook
Proofpoint Data Security Posture Management.

ANTS cyberattack: when government communication Mirrors the attacker playbook

Share with your network!
Loïc Guézo

Principaux points à retenir

  • La récente compromission de données de l'ANTS a entraîné l'exposition des données personnelles de près de 12 millions de citoyens français.
  • L'Europe est à la pointe en matière de réglementation sur la cybersécurité, mais l'application des règles de rejet DMARC demeure inégale parmi les domaines du secteur public.
  • Cette faille peut exposer les domaines gouvernementaux à des risques d'usurpation d'identité via les mêmes canaux de messagerie électronique que ceux utilisés pour les notifications post-compromission.

L'Agence nationale des titres sécurisés (ANTS), désormais appelée France Titres depuis 2024, est l'organisme public chargé de délivrer et de gérer les principaux documents d'identité, notamment les passeports, les cartes d'identité et les permis de conduire.

Une cyberattaque récente ciblant l'ANTS a été détectée le 15 avril 2026. Selon la presse, cet incident pourrait concerner près de 12 millions de citoyens et entraîner la divulgation de leurs données personnelles, telles que leurs noms, adresses email et dates de naissance, issues à la fois de leurs comptes personnels et professionnels.

Depuis lors, les événements se sont succédés rapidement. Un suspect aurait été identifié et arrêté. Par mesure de précaution, le portail de l'ANTS a été brièvement mis hors ligne, puis rouvert après l'installation de mises à jour de sécurité. Le Premier ministre français a récemment annoncé un plan national visant à renforcer la résilience en matière de cybersécurité dans l'ensemble des services publics.

La réaction initiale a été rapide, maîtrisée et conforme aux bonnes pratiques en matière de communication de crise, une annonce publique ayant été faite cinq jours après la détection de l'incident. Ironiquement, les personnes concernées ont été informées par un email non authentifié. 

Les emails de notification post-incident qui ont été observés semblaient provenir de l'adresse no-reply[@]comm.ants.gouv.fr. L'analyse du DNS public du site ants.gouv.fr au moment de la publication a révélé la présence d'un enregistrement DMARC en mode surveillance : v=DMARC1; p=none; adkim=r; aspf=r; sp=none.

En d'autres termes, les messages de notification provenaient du même canal que celui qu'un cybercriminel utiliserait pour exploiter les données qui avaient été compromises.

Des compromissions de données aux campagnes de phishing : une chaîne prévisible

Dans le paysage actuel des menaces, une compromission de données est rarement l'objectif final. Le plus souvent, il s'agit du point de départ d'attaques en chaîne susceptibles d'évoluer rapidement. Dans l'affaire de l'ANTS, les autorités elles-mêmes ont invité les utilisateurs à se montrer vigilants face à des messages suspects, notamment des emails se faisant passer pour l'agence.

Il s'agit d'un schéma bien établi :

  • Les données volées alimentent le ciblage.
  • Les détails personnels rendent le leurre plus crédible.
  • Des organismes de confiance font l'objet d'une usurpation d'identité.
  • L'attaque est transmise à la cible par email.

Les recherches menées par Proofpoint montrent systématiquement que l'email demeure le principal vecteur de menace et un point d'entrée privilégié pour les cyberattaques.

Dans des incidents comme la violation de l'ANTS, les cybercriminels n'ont pas besoin de se livrer à des conjectures. Ils disposent déjà des éléments suivants :

  • Des identités vérifiées
  • Une pertinence contextuelle
  • Un organisme de confiance à usurper

Leur succès dépendra de la capacité des emails de suivi à convaincre.

Dans une grande partie de l'Europe, ces emails peuvent être assez difficiles à repérer. En effet, les communications gouvernementales sont souvent, de par leur nature, faciles à falsifier. Alors que des pays comme le Danemark et le Royaume-Uni ont pris des mesures pour appliquer des règles de rejet DMARC aux domaines gouvernementaux, de nombreux États européens s'en tiennent toujours à des recommandations plutôt que de fixer des obligations. Il en résulte un paysage fragmenté, au sein duquel la confiance envers les institutions n'est, d'un point de vue technique, pas garantie. 

DMARC : un contrôle qui n'est toujours pas appliqué

Les normes d'authentification des emails (SPF, DKIM et DMARC) ne sont pas nouvelles. Le protocole DMARC permet aux propriétaires de domaines d'enjoindre les systèmes destinataires de rejeter tout message qui ne satisfait pas à ces vérifications.

Pourtant, le problème ne réside pas dans la sensibilisation, mais dans l'application stricte. Dans l'ensemble du secteur public, de nombreux domaines fonctionnent toujours en mode de surveillance, ce qui ouvre la voie à l'usurpation d'identités. Un domaine qui n'applique pas strictement le protocole DMARC n'ordonne pas aux systèmes de messagerie destinataires de rejeter les messages qui échouent aux vérifications DMARC, ce qui augmente les risques d'usurpation d'identité.

Le paradoxe cybernétique de l'Europe : une réglementation stricte, mais une mise en œuvre défaillante

La compromission dont a été victime l'ANTS met en évidence un problème de confiance plus général dans les communications numériques du secteur public : lorsque l'authentification des emails n'est pas imposée, on demande aux citoyens de faire confiance à un canal que des cybercriminels peuvent imiter.

L'Europe a mis en place l'un des cadres réglementaires les plus évolués au monde, qui comprend notamment les réglementations suivantes  :

  • RGPD
  • NIS2
  • DORA

Et aujourd'hui, à la suite d'incidents tels que la compromission de l'ANTS, les gouvernements prennent des mesures. La France a récemment annoncé un plan national de cybersécurité visant à renforcer les défenses du secteur public.

Cependant, ces cadres présentent une limite structurelle commune : ils régissent les responsabilités, mais ne tiennent pas toujours compte de la réalité technique. Les cybercriminels n'exploitent pas les cadres de gouvernance, mais les failles au niveau de leur mise en œuvre.

Dans la compromission de l'ANTS elle-même, la contradiction est évidente :

  • Les autorités informent les victimes par email.
  • Les autorités mettent en garde contre des tentatives de phishing utilisant cette même identité.
  • Mais les contrôles techniques qui compliqueraient singulièrement l'usurpation d'identité ne sont pas appliquées partout.

ANTS : étude de cas sur l'exposition structurelle

Le communiqué officiel du ministère français de l'Intérieur confirme plusieurs points clés :

  • Des données à caractère personnel ont été exposées.
  • Les autorités ont commencé à informer les utilisateurs concernés.
  • Les utilisateurs ont été clairement mis en garde contre les risques de phishing.
  • Aucune action immédiate n'était requise de la part des utilisateurs.

Le paradoxe est frappant : l'organisme qui met en garde contre le phishing s'appuie sur un canal susceptible d'être usurpé à l'aide de données volées. Cela signifie que, pour la plupart des utilisateurs, il n'existe peut-être aucun moyen évident de déterminer si un message qu'ils reçoivent est authentique ou frauduleux.

Une perspective mondiale sur le fossé grandissant

Le problème n'est pas généralisé. Aux États-Unis, les directives fédérales imposent aux agences de mettre en place et d'appliquer des règles d'authentification des emails, notamment DMARC, et non pas simplement de les surveiller. La différence se remarque dans la pratique :

  • Aux États-Unis, il est de plus en plus difficile d'usurper l'identité d'un domaine gouvernemental.
  • En Europe, cela reste souvent techniquement possible.

Ce n'est pas une question de moyens, mais de priorités. Si l'Europe est à la pointe en matière de réglementation, la confiance dans l'application de ces règles y reste inégale.

Le point de vue de Proofpoint : si quelqu'un peut usurper votre identité, la confiance que l'on vous accorde est menacée

Les cybercriminels ne cherchent plus à pirater les systèmes à tout prix. Ils s'en prennent de plus en plus aux personnes.

  • L'ingénierie sociale prend le pas sur les malwares.
  • L'identité est le nouveau périmètre.
  • L'email demeure le principal vecteur d'attaque.

Cela nous amène à une conclusion simple, mais dérangeante : en termes de confiance, si un cybercriminel parvient à usurper votre identité, il n'aura peut-être même pas besoin de pirater votre système.

La phase suivante a déjà commencé

Le risque engendré par la compromission de l'ANTS n'a pas disparu. Même si l'auteur présumé de l'attaque a été identifié, que des arrestations ont été effectuées, que les systèmes ont été temporairement mis hors service et que les plates-formes ont été remises en service avec des mesures de sécurité renforcées, le problème fondamental reste le même : les données ont déjà été exposées. 

Cela signifie que les cibles sont connues et que de nouveaux incidents ne manqueront sans doute pas de suivre. Les mesures stratégiques — qu'elles soient opérationnelles, judiciaires ou politiques — ne permettent pas de mettre fin aux possibilités offertes par l'usurpation d'identité.

La seule question en suspens est de savoir si les messages frauduleux envoyés au nom des institutions européennes seront signalés ou remis. Aujourd'hui, dans une grande partie de l'Europe, la réponse reste incertaine — et c'est précisément sur cette incertitude que misent les cybercriminels.

Protégez la confiance qui sous-tend chaque message. Découvrez comment Proofpoint aide les entreprises à mettre en œuvre le protocole DMARC, à se protéger contre l'usurpation de domaine et à bloquer les tentatives d'usurpation d'identité par email avant qu'elles n'atteignent les utilisateurs.