Lecornu face aux fuites de données, beaucoup de bruit pour rien ?

Après des mois de fuites plus graves les unes que les autres, marquées par l’apathie des pouvoirs publics, celle qui a frappé l’ANTS a été la goutte d’eau qui a fait déborder le vase : Sébastien Lecornu s’est saisi du problème. Mesures structurelles, budgétaires et techniques, les annonces sont-elles à la hauteur des enjeux ? InCyber fait le point.

Le 30 avril 2026, quinze jours après le piratage de l’ANTS, Sébastien Lecornu monte – enfin – au front. Le ton du Premier ministre est grave, tout comme le diagnostic posé par Matignon : « en moyenne trois vols de données par jour » en France, souligne le communiqué officiel. Une formule frappante, qui installe l’idée d’une menace permanente, voire industrielle. Si elle est probablement en dessous de la réalité (InCyber parlait en mars dernier de « menace systémique » et d’une « grande hémorragie » en décembre 2025), elle justifie néanmoins une réponse qui se veut musclée.

Celle-ci se décompose en quatre points. D’abord, l’urgence : 200 millions d’euros doivent être débloqués « la semaine prochaine » pour renforcer la sécurité des systèmes de l’État, a lancé le Premier ministre. Ensuite, l’organisation : fusion de la DINUM (Direction interministérielle du Numérique) et de la DITP (Direction interministérielle de la Transformation publique) pour créer une autorité numérique directement rattachée à Matignon, chargée d’imposer des règles de sécurité à tous les ministères. Une promesse financière de plus long terme complète le dispositif : 5 % des budgets numériques ministériels seront consacrés au cyber à partir de 2027. Enfin, le Premier ministre annonce une série d’orientations plus techniques ou prospectives : recours à l’intelligence artificielle pour détecter les vulnérabilités, investissements dans la cryptographie post-quantique et lancement d’« exercices d’auto-attaque » pour tester les failles internes.

« Leurs défenses informatiques sont aussi friables que leurs croissants »

Sur le papier, cette réponse semble solide, combinant argent, gouvernance et technologie. Mais pour comprendre ce qu’elle vaut réellement, il faut revenir à l’événement déclencheur : la fuite de données de l’ANTS. Un piratage qui n’a rien d’une cyberattaque spectaculaire, mais littéralement tout d’un cas d’école. De première année d’école de cybersécurité, pour être plus précis.

C’est ce que soulignait le hacker, auteur présumé de cet « exploit », sur lequel nous reviendrons : « Le gouvernement français ferait mieux de se cantonner aux arts culinaires, leurs défenses informatiques sont aussi friables que leurs croissants », faisait en effet savoir breach3d le 16 avril dernier, dans son message de revendication de la fuite ayant frappé l’Agence nationale des titres sécurisés. Et de fait, la vulnérabilité qu’il a exploitée est une IDOR – Insecure Direct Object Reference. « Cette faille IDOR figure dans le top 10 OWASP depuis 2007 », soulignait sur X Christophe Mazzola, consultant en cybersécurité. En d’autres termes, l’Open Web Application Security Project, la fondation qui travaille sur la cybersécurité des applications Web, la jugeait déjà extrêmement courante et prioritaire à traiter l’année de sortie du premier iPhone… soit quatre ans avant la naissance de breach3d. En quoi consiste-t-elle ? « Sans jargon : tu modifies un chiffre dans une URL, le serveur te renvoie le dossier d’un autre citoyen », explique Christophe Mazzola. Bref, l’attaque ne révèle pas une faille nouvelle, pas de zero-day, mais l’absence de correction d’une faiblesse ancienne et archiconnue.

ANTS : 12 à 19 millions de comptes touchés

((texte))

Les éléments qui sont remontés après le 15 avril dressent un tableau encore plus préoccupant, celui de logs internes accessibles en clair, contenant « des identifiants utilisateurs, des tentatives de connexion, des statuts de comptes », selon Seb Latombe, fondateur du site frenchbreaches.com. Plus grave, « j’ai remonté deux failles de sécurité qui n’ont jamais été corrigées », affirme Léo Gonzalez, cofondateur de Devensys Cybersecurity. Et surtout, selon Chritophe Boutry, consultant tech et justice, « le même acteur qui revendiquait déjà la première intrusion affirme avoir réussi à rester présent dans le système malgré l’affaire en cours », conservant la main sur des données hypersensibles, faute de remédiation complète.

En tout état de cause, le volume de données concernées donne la mesure du problème. Près de 12 millions de comptes selon les chiffres officiels, jusqu’à 19 millions selon d’autres estimations. À la clef, des millions de noms, prénoms, adresses, mails, téléphones, dates et lieux de naissance… Le cœur de l’identité administrative française. Et une fois la boîte de Pandore ouverte, impossible de la refermer. Ces données entrent dans l’écosystème du recel, du phishing ciblé, de l’usurpation d’identité et autres arnaques aux conséquences parfois catastrophiques pour leurs victimes.

À l’heure où les autorités alertent sans cesse sur le danger des ingérences étrangères, le profil du suspect est dévastateur pour ce discours. C’est un mineur de 15 ans, qui a fini par se présenter de lui-même au commissariat de Bastia, accompagné de sa mère.

Un « casse du siècle, mais qui a pratiquement lieu tous les mois »

Cela prêterait presque à sourire si cela ne signifiait pas que la France n’avait pas été mise en échec par une organisation criminelle sophistiquée ou un acteur étatique, mais par un jeune opportuniste qui, selon ses dires, « ne pensait même pas qu’une telle faille puisse exister […] C’est de la négligence. » « Comment un jeune de 15 ans peut arriver à faire ça ? Oui, non seulement ils savent le faire, mais c’est malheureusement assez courant », a tenté de minimiser Sébastien Lecornu.

Ce qui est certainement « assez courant », ce sont les fuites de données des services critiques de l’État. Sébastien Lecornu n’a à ce titre pas tort de parler de « casse du siècle, mais qui a pratiquement lieu tous les mois ». L’ANTS aurait déjà été victime de fuite en septembre 2025, ce qu’elle réfute. Plus récemment, fin avril 2026, l’Agence de services et de paiement (ASP) a été touchée par une fuite d’une autre nature, mais tout aussi préoccupante. Cette fois, les données concernées incluent numéro de sécurité sociale (NIR), données bancaires (RIB, avis de paiement) et « informations liées à des aides financières ». L’origine ? « Un accès frauduleux à un compte utilisateur ». Là encore, pas d’attaque sophistiquée, mais une compromission d’accès.

Dans la foulée, l’Agence nationale des fréquences (ANFR) s’est à son tour retrouvée piratée : de son aveu, « les données d’environ 330 000 usagers ont pu être extraites ». Nom, prénom, coordonnées, date de naissance… Des données classiques, mais suffisantes pour alimenter des campagnes de fraude ciblée.

Budget, délais : pas assez, trop tard

Et ce ne sont là que quelques exemples récents. Mis bout à bout, ces incidents dessinent le schéma d’une négligence systémique : une faille simple, des données mal cloisonnées, une détection tardive, une communication minimale et a posteriori, puis une nouvelle fuite. Les plateformes de suivi comme FrenchBreaches, bonjourlafuite ou FuitesInfos confirment cette tendance.

C’est dans ce contexte que les annonces de Sébastien Lecornu doivent être évaluées… et c’est là que le décalage apparaît. Sur la question des moyens, d’abord. Les 200 millions annoncés frappent les esprits, mais ils doivent être replacés dans leur contexte : l’État consacre déjà entre 700 millions et un milliard d’euros par an à la cybersécurité. L’ANTS disposait elle-même de 315 millions d’euros de budget en 2026. Le problème n’est donc pas l’absence de financement, mais une question de méthode. Injecter des moyens supplémentaires peut renforcer certaines capacités, mais cela ne corrige pas les failles fondamentales si les processus de base ne sont pas appliqués. « Réponse politique : 200 millions d’euros pour acheter de nouveaux détecteurs. Sauf que les anciens étaient déjà budgétés », résume, grinçant, Christophe Mazzola.

Sur les délais, ensuite. Une partie des mesures annoncées – notamment l’objectif des 5 % des budgets numériques consacrés au cyber – ne produira d’effet qu’à partir de 2027. La réforme de l’affectation des amendes de la CNIL au cyber étatique dépend d’un futur projet de loi de finances. Autrement dit, une partie de la réponse est différée, alors que la menace est quotidienne.

Vers une nouvelle HADOPI ?

De même, le plan Lecornu repose largement sur une logique organisationnelle : fusion d’entités, création d’une autorité. Or, « les cyberattaques n’attendent pas les réorganisations : chaque jour de retard expose davantage les données des Français », souligne le collectif TousVigilants.

Réformer les administrations, cette réponse technocratique typique de l’appareil d’État est, elle aussi, en décalage avec la réalité du terrain. Comme le souligne Medhi, influenceur présent sur les questions cyber, la DINUM et la DITP ne formaient qu’une seule entité jusqu’en 2012. « On est donc en train de payer des consultants McKinsey et des cabinets juridiques pour défaire ce qu’on a payé d’autres consultants à faire il y a quelques années et on appelle ça une réorganisation stratégique majeure », ironise-t-il.

De fait, le plan Lecornu traite un problème organisationnel alors que la crise est opérationnelle… et il n’est même pas dit que la refonte envisagée porte des fruits. « Ce n’est pas le boulot de l’ANSSI de veiller à ce que les architectures des ministères soient de qualité », a souligné le Premier ministre. En attendant que la fusion de la DINUM et de la DITP soit effective, il est permis de se demander qui sera responsable de cette mission. Et après ? aura-t-on droit à une nouvelle HADOPI, une structure technocratique qui donnera « une tape sur les doigts des boulets qui laissent des data perso en open-bar ? »

N’en déplaise à Sébastien Lecornu, l’ANSSI publie des guides, des référentiels, des méthodes d’homologation. Les bonnes pratiques existent, le problème est leur non-application.

Faites ce que je dis, pas ce que je fais

Contrôles d’accès systématiques, double authentification, correction rapide des vulnérabilités signalées, surveillance des extractions massives, cloisonnement des données, tests de sécurité bloquants avant la mise en production, responsabilités clairement établies et assumées, aucun de ces éléments n’est révolutionnaire, mais leur absence produit les effets dévastateurs que l’on constate depuis des mois, voire des années. Et ce n’est pas l’IA ou la cryptographie post-quantique qui y changeront quelque chose.

Avant d’investir dans les technologies d’avenir qui impressionnent en conférence de presse, peut-être l’État pourrait-il faire déjà tourner ses applications critiques sur des systèmes raisonnablement à jour. Le 3 mai, le groupe de hackers LunarisSec a remonté aux autorités une faille critique touchant le site des impôts. On apprend à cette occasion que ses bases de données tourneraient sous Microsoft Access, une technologie destinée aux bases de données personnelles et très mal sécurisée. À l’heure où nous écrivons ces lignes, aucune réaction des autorités compétentes. Il est vrai que c’est le week-end du Premier mai, ce n’est pas comme si nous étions en pleine période de déclarations de revenus et que c’était une première…

Ce même État qui peut infliger, via la CNIL, des amendes allant jusqu’à 4 % de son chiffre d’affaires à une société privée qui aurait laissé fuiter les données de ses clients ne s’applique pas les principes élémentaires qu’elle impose aux autres et c’est l’un des principaux angles morts des annonces gouvernementales.

L’autre, ce sont les millions de Français victimes de fuites de données. Sébastien Lecornu est resté muet sur l’accompagnement concret des personnes concernées : pas de dispositif massif de protection post-fuite, pas d’indemnisation évoquée, pas de stratégie claire de limitation des conséquences. Par défaut, c’est donc l’habituelle stratégie qui devrait rester en place : « débrouillez-vous avec les conséquences de notre incompétence ».