Données personnelles en France : le modèle centralisé a atteint ses limites

1. L'ANTS, 19 millions de dossiers, une URL modifiée

Le 15 avril 2026, un utilisateur opérant sous le pseudonyme « breach3d » a publié un jeu de données contenant entre 18 et 19 millions d'enregistrements issus de France Titres, la plateforme de l'ANTS (Agence nationale des titres sécurisés). Le vecteur d'attaque : une vulnérabilité IDOR - Insecure Direct Object Reference. Modifier un identifiant numérique dans l'URL d'une requête API suffisait à accéder aux données d'un autre citoyen. Noms, prénoms, dates de naissance, adresses e-mail, identifiants de connexion, identifiants uniques ANTS. Le ministère de l'Intérieur a confirmé la faille le 20 avril.

Une IDOR n'est pas une attaque sophistiquée. C'est l'équivalent numérique d'une porte fermée dont le verrou accepte n'importe quelle clé - il suffit d'incrémenter un compteur. La vulnérabilité figure dans le Top 10 OWASP depuis sa création. Chaque développeur backend apprend à s'en prémunir en première année. L'ANTS gère les cartes nationales d'identité, les passeports, les permis de conduire et les certificats d'immatriculation de l'ensemble de la population française.

L'ANTS n'est pas un cas isolé. C'est le dernier épisode d'une série qui dure depuis deux ans et dont l'ampleur cumulée dépasse ce que la plupart des décideurs réalisent.

2. Inventaire des fuites publiques françaises 2024-2026

Le tableau ci-dessous recense les fuites majeures documentées entre 2024 et 2026. Il n'est pas exhaustif - il ne couvre que les incidents dont l'ampleur dépasse le million de personnes ou dont la nature des données est particulièrement sensible.

Parmi les cas les plus significatifs : Cegedim a exposé jusqu'à 15 millions de dossiers médicaux - dont 164 000 contenaient des annotations libres sur les pathologies, traitements, addictions. FICOBA a livré des RIB avec identité complète pendant plusieurs jours sans déclencher d'alerte. ÉduConnect a compromis 3,5 millions de dossiers de mineurs, 7,2 millions de bulletins scolaires.

La liste continue : ministère de l'Intérieur (fichiers TAJ/FPR et fiches Interpol, décembre 2025), Pôle Emploi via Majorel (10 millions, août 2023), Synbird (1 300 communes), Alinto (40 millions de métadonnées e-mail). Les vecteurs sont répétitifs : IDOR, usurpation de comptes de prestataires, chaînes de sous-traitance mal contrôlées.

Synthèse Anozr Way 2025 : 2,6 milliards de données personnelles compromises dans le monde (+23 %), 80 millions d'adresses postales françaises sur le dark web. La CNIL a reçu 6 929 notifications de violations sur neuf mois en 2025, dépassant dès septembre le total 2024. La France est le premier pays européen impacté.

3. Calcul de probabilité d'exposition individuelle

La France compte 52 millions d'adultes. Prenons les fuites contenant le NIR - numéro de sécurité sociale, identifiant unique, non-révocable, attribué à vie - et calculons la probabilité qu'un adulte français ait le sien déjà en circulation.

L'hypothèse d'indépendance surestime légèrement (les populations se recoupent). La borne inférieure robuste est donnée par France Travail seul : 82,7 %. Pour un adulte ayant été salarié ou demandeur d'emploi sur vingt ans, l'estimation défendable est de 85 à 95 %.

L'adresse postale suit un chemin parallèle : 80 millions d'adresses exposées pour 30 millions de ménages (Anozr Way 2025), soit environ 93 % des ménages touchés. Le NIR d'un adulte français est, statistiquement, déjà compromis.

4. Anatomie d'un échec structurel

Le NIR est un identifiant universel, attribué à la naissance, irrévocable. Un NIR fuité aujourd'hui sera exploitable dans quinze ans. Le choix jacobin d'un identifiant unique maximise le ratio effort/butin pour l'attaquant. L'Allemagne sépare les domaines : Steuer-ID pour le fisc, Rentenversicherungsnummer pour les retraites, Personalausweis-Nummer pour l'identité civile. Compromettre un fichier fiscal allemand ne donne ni le numéro de retraite, ni l'identifiant d'identité. En France, le NIR ouvre tout. 77 % des collectivités françaises dépensent moins de 2 000 euros par an en cybersécurité (Anozr Way) - le prix d'une demi-journée de prestation spécialisée.

Le dénominateur commun n'est pas l'incompétence. C'est un choix architectural : stocker des secrets irrévocables dans des bases centralisées, détenues par des tiers, protégées par le périmètre réseau. Quand le périmètre cède - et il cède toujours - tout est exposé en clair, en vrac, pour toujours.

Le risque se concentre sur les prestataires mutualisés. Majorel, sous-traitant de Pôle Emploi, a exposé 10 millions de dossiers en août 2023 via une usurpation de compte agent. Cegedim a livré 15 millions de dossiers médicaux issus de 3 800 cabinets. Synbird a compromis les systèmes de rendez-vous de 1 300 communes. Alinto a exposé 40 millions de métadonnées de messagerie. Le marché public numérique français se distribue entre une poignée d'acteurs - Capgemini, Atos, Sopra Steria, Worldline, Thales - qui interviennent en cascade sur les mêmes systèmes régaliens. Une base parfaitement administrée reste vulnérable à la sécurité de son prestataire le moins sérieux.

5. Secret révocable contre secret permanent

Un scan de CNI compromis restera exploitable pendant quinze ans. La victime ne peut pas changer son visage ou sa date de naissance. Un certificat X.509 compromis est révoqué en quelques heures via CRL (RFC 5280) ou en quelques secondes via OCSP (RFC 6960). L'extension OCSP Must-Staple (RFC 7633) va plus loin : elle force le serveur à fournir une preuve OCSP fraîche à chaque poignée de main TLS, éliminant la latence de propagation de la révocation.

L'architecture française repose sur la protection périmétrique de secrets non-révocables. C'est un pari unilatéral : soit le périmètre tient, soit tout est perdu. Les deux dernières années ont montré combien de fois il ne tenait pas.

6. Les architectures à clés sous contrôle utilisateur

Le principe est simple, radical dans ses conséquences : le serveur n'a jamais accès au secret. Le secret reste sous le contrôle cryptographique de son propriétaire. Une compromission côté serveur ne produit rien d'exploitable.

Trois briques techniques rendent ce modèle opérationnel. Les QSCD (Qualified Signature Creation Devices) sont des dispositifs matériels certifiés CC EAL4+ ou FIPS 140-3 Level 3 où la clé privée est générée et ne quitte jamais le dispositif. Les Verifiable Credentials (W3C) permettent à un émetteur de délivrer une attestation vérifiable que le détenteur présente sans exposer la donnée brute. Les preuves zero-knowledge (BBS+, SD-JWT) vont plus loin. Concrètement : un credential contient les champs birthdate et is_over_18 ; le titulaire présente uniquement is_over_18 = true sans révéler la date, et le vérificateur valide la signature de l'émetteur sans le solliciter.

Le règlement eIDAS 2 (Règlement (UE) 2024/1183) impose ces propriétés à l'EUDI Wallet que chaque État membre doit fournir à l'échéance fixée par les actes d'exécution, soit environ 24 mois après leur entrée en vigueur. Le droit européen a rattrapé la technique. Les administrations françaises construisent encore sur l'ancien modèle - des bases centralisées de données brutes - au moment où le nouveau devient légalement obligatoire.

7. Zero-trust, clé perdue et complémentarité

Le zero-trust (NIST SP 800-207) vérifie chaque requête individuellement - appliqué à l'API de l'ANTS, la faille IDOR n'aurait pas été exploitable. Mais le zero-trust ne résout pas la question du stockage : les données restent centralisées en clair côté serveur. Un accès privilégié (DBA, HSM compromis) exposerait tout de même 19 millions d'enregistrements. Les clés côté utilisateur résolvent cette couche. Les deux approches sont complémentaires : l'une réduit la probabilité de compromission, l'autre en réduit les conséquences.

L'objection prévisible : l'utilisateur peut perdre sa clé. Le partage de secret de Shamir distribue la clé en n fragments dont k suffisent à la reconstituer - coffre bancaire, notaire, tiers numérique. Les clés sociales permettent à un cercle de contacts désignés d'autoriser une récupération. Les QTSP eIDAS offrent un service de récupération sans détenir le secret.

La vraie question est politique : qui porte le coût ? L'architecture centralisée externalise le coût de la fuite sur 36,8 à 43 millions de victimes (36,8 M confirmés par la CNIL, 43 M borne haute annoncée par France Travail). L'architecture à clé utilisateur internalise le coût de la perte sur un individu, avec des mécanismes de récupération éprouvés et assurables. La distribution asymétrique des conséquences est le vrai argument pour le changement de modèle.

8. Le prix du statu quo

5 millions d'euros d'amende pour France Travail (délibération CNIL du 22 janvier 2026). 42 millions cumulés pour Free et Free Mobile (13 janvier 2026). Les procédures Cegedim, ANTS et ÉduConnect ne sont pas clôturées. Ces montants ne couvrent ni le coût des usurpations d'identité - démarches, blocages bancaires, préjudice moral -, ni le phishing ciblé que permettent les corrélations entre bases (l'URSSAF fournit l'employeur, Cegedim le médecin, Viamedis la mutuelle).

Le coût d'une migration vers les clés distribuées est ponctuel, prévisible, budgétisable. Les outils existent : EUDI Wallet, did:ebsi en production pilote, SD-JWT en standardisation IETF, QSCD cloud certifiés. Le coût du statu quo est continu, imprévisible et exponentiel. En 2024, deux fuites majeures. En 2025, le chiffre a doublé. En 2026, trois ministères touchés en trois mois. La courbe ne s'infléchit pas. Elle accélère.