Lecornu parle de "casse du siècle" sur le piratage de l'ANTS.
Sauf que c'est un casse de TP étudiant.
Une faille de 2007.
Avec 200 millions d'euros d'effet d'annonce par-dessus.
Le 15 avril 2026, deux choses se sont passées.
À Bruxelles, Ursula von der Leyen présente l'app européenne de vérification d'âge. "Techniquement prête". "Normes les plus élevées au monde" pour la vie privée.
À Paris, le même jour, l'ANTS détecte une intrusion massive.
11,7 millions de Français.
24h plus tard, le consultant Paul Moore poste la démo du hack de l'app d'Ursula.
Moins de 2 minutes.
Sur Android. Sans outil spécialisé.
Une édition de fichier de configuration.
Petit disclaimer.
Je m'exprime peu sur l'actualité cyber sur twitter.
J'ai 6 mandats en cours. Pas de chaîne YouTube à nourrir. Pas de newsletter à promouvoir.
Et zéro CVE recyclée en thread alarmiste cette semaine.
Donc oui, j'arrive après les 800 premiers "ENFIN UN EXPERT OSE PARLER".
Sans emoji feu. Sans hot take.
Mais le dossier est trop bien aligné pour le laisser aux threads-alerte.
L'ANTS, c'est quoi ?
Le portail unique pour ta carte d'identité, ton passeport, ton permis, ta carte grise.
Le socle de ton identité administrative.
Date de naissance, lieu de naissance, nom de naissance.
Une fois dehors, c'est dehors pour toujours.
La cause technique tient en quatre lettres.
IDOR.
Insecure Direct Object Reference.
Sans jargon : tu modifies un chiffre dans une URL, le serveur te renvoie le dossier d'un autre citoyen.
Pas de zero-day.
Pas de génie criminel.
Le pirate (15 ans, interpellé) a qualifié la faille de "vraiment stupide".
Il a raison.
Cette faille IDOR figure dans le top 10 OWASP depuis 2007.
L'iPhone venait de sortir.
Dix-neuf ans dans tous les manuels.
Analogie pompiers.
Tu n'attends pas que ta maison brûle pour appeler les pompiers.
Tu installes les détecteurs AVANT.
L'État français a fait l'inverse.
Il a payé sa caserne (l'ANSSI). Il a financé son portail (315M€ de budget ANTS).
Il découvre, le jour où ça brûle, que les détecteurs n'avaient jamais été branchés.
Réponse politique : 200 millions d'euros pour acheter de nouveaux détecteurs.
Sauf que les anciens étaient déjà budgétés.
Le moment où ça devient gênant.
Si tu es une PME qui laisse fuiter des données ?
Jusqu'à 4% du CA mondial d'amende CNIL.
500M€ d'amendes prononcées en 2025.
L'ANTS, agence d'État qui gère tes papiers ?
Pas de MFA côté dev. Pas de détection des aspirations massives.
DMARC en mode "p=none" depuis juillet 2019.
Sept ans sans politique anti-spoofing sur un domaine .gouv.fr.
L'État sanctionne les autres.
Et laisse une faille de première année sur son propre portail.
La paille dans l'œil du voisin.
La poutre dans le tien.
Maintenant, l'alignement du 15 avril.
Pendant que l'ANTS s'effondre sur une faille de 2007, on annonce à 450 millions d'Européens qu'ils vont devoir scanner leur carte d'identité pour accéder à Twitch.
Promesse : "normes les plus élevées au monde".
24h plus tard : app piratée en 2 minutes.
Le pattern qu'il faut nommer.
→ Back doors dans les messageries chiffrées
→ Chatcontrol et scan automatisé des messages privés
→ Carte d'identité pour les sites adultes (déjà en vigueur)
→ Carte d'identité pour les réseaux sociaux (l'app hackée)
Le motif est toujours le même.
"Donne-nous tes données pour ta sécurité."
Confiées à des acteurs publics qui n'arrivent pas à fermer un IDOR.
Le problème, ce n'est pas l'enveloppe.
L'État met déjà 700M€ à 1Md€ par an dans le cyber.
L'ANTS avait 315M€ de budget propre en 2026.
Le problème, c'est la discipline d'exécution.
Et ça, personne ne l'achète avec un chèque annoncé en pleine crise.
La cybersécurité n'est pas une arrière-pensée.
Ça se planifie EN AMONT.
Avant le code. Avant la mise en prod.
Avant qu'on demande à 450 millions d'Européens de scanner leur identité pour aller sur Twitch.
Tant qu'on traite la cyber comme une réaction à l'incident, on signera tous les chèques de 200 millions du monde sans corriger l'écart.
Et on aura, tous les six mois, un nouveau "casse du siècle".
La faille de l'ANTS est de 2007.
La discipline d'exécution qui aurait dû la corriger, on l'attend depuis aussi longtemps.
Ça m’évoque tellement des souvenirs ce Coran et j’ai tellement profité de la phonétique quand j’étais petit mais quand je vois ça maintenant ça me pique les yeux
Tonight, we reached an agreement with the Department of War to deploy our models in their classified network.
In all of our interactions, the DoW displayed a deep respect for safety and a desire to partner to achieve the best possible outcome.
AI safety and wide distribution of benefits are the core of our mission. Two of our most important safety principles are prohibitions on domestic mass surveillance and human responsibility for the use of force, including for autonomous weapon systems. The DoW agrees with these principles, reflects them in law and policy, and we put them into our agreement.
We also will build technical safeguards to ensure our models behave as they should, which the DoW also wanted. We will deploy FDEs to help with our models and to ensure their safety, we will deploy on cloud networks only.
We are asking the DoW to offer these same terms to all AI companies, which in our opinion we think everyone should be willing to accept. We have expressed our strong desire to see things de-escalate away from legal and governmental actions and towards reasonable agreements.
We remain committed to serve all of humanity as best we can. The world is a complicated, messy, and sometimes dangerous place.
Je montre à ma femme de ménage Polonaise (parfaitement déclarée) la Une de l’Express sur la formidable réussite de la Pologne. Elle part d’un grand éclat de rire en me disant que “bien sûr que les français sont de moins en moins riches, ils ont choisi les vacances à rallonge, les 35 heures, la retraite très tôt, les aides sociales pour un oui et pour un non, pas nous les Polonais, on travaille beaucoup”. Et je confirme qu’elle est un exemple d’efficacité et de travail bien fait. Comme quoi l’économie n’est pas si compliquée à expliquer à tout le monde. J’ajouterai juste qu’ils ont été vaccinés contre tout ce qui ressemble de près ou de loin au collectivisme, pas nous.
In France, we believe in science.
That is why, on May 5, I issued a clear and open call to the world: for science, choose France.
I am very proud to see that this call has resonated so strongly.
Around forty leading researchers have chosen France.
Through “France 2030”, we have invested more than €30 million to advance health, climate action, artificial intelligence, and fundamental sciences.
Science has found its home.
🇲🇦🗣 @ynsbelhanda reste sur sa faim en voyant cette équipe du Maroc : "C'est le meilleur match, je suis très content qu'on gagne, mais je suis déçu par le niveau de jeu depuis longtemps... Avec les joueurs qu'on a, je reste sur ma faim. Il n'y avait rien côté Cameroun ce soir."
Qui sont les "méchants" depuis 1971 jusqu'à aujourd'hui ?
Les sanguinaires russes, les mollahs d'Iran, les frères musulmans du Qatar, les islamistes d'Arabie Saoudite, les communistes du Venezuela, le tyran de Bagdad, etc.
Maintenant, prenez 2 minutes pour regarder ces 2 listes
« It doesn’t count as an assist so I don’t take it, no…,but (I saw great room for Maitland? pas sûr), so I played the pass. As I said, it’s only half-time » @Ligue1@Ligue1_ENG embauchez-moi !