Une cyberattaque visant l’Agence nationale des titres sécurisés en avril 2026 met en lumière une faille pourtant bien connue des experts : la faille IDOR. Derrière cet acronyme technique se cache un défaut de sécurité élémentaire, susceptible d’exposer des millions de données sensibles. Décryptage d’une vulnérabilité ancienne, mais toujours redoutablement efficace.

Le 15 avril 2026, Agence nationale des titres sécurisés, pilier des démarches administratives françaises liées aux documents officiels, est frappée par une cyberattaque d’ampleur. Cinq jours plus tard, l’organisme reconnaît une intrusion susceptible d’avoir compromis des données d’usagers. Entre-temps, une base de données présentée comme issue de ses systèmes circule déjà sur un forum cybercriminel, proposée à la vente par un acteur malveillant.

Les informations évoquées sont particulièrement sensibles. Identifiants de connexion, noms, prénoms, adresses électroniques et dates de naissance figureraient parmi les données compromises. Dans certains cas, des éléments supplémentaires comme l’adresse postale, le lieu de naissance ou le numéro de téléphone auraient également été exposés. Les comptes professionnels ne seraient pas épargnés, incluant des données telles que la raison sociale ou le numéro SIREN.

Au cœur de cette fuite, une hypothèse domine : l’exploitation d’une faille dite IDOR, pour Insecure Direct Object Reference. Une vulnérabilité qui, malgré son apparente simplicité, peut provoquer des dégâts considérables.

Une mécanique aussi simple qu’efficace

Une faille IDOR repose sur un principe élémentaire : l’absence de vérification des droits d’accès côté serveur. Concrètement, lorsqu’un utilisateur accède à une ressource via une application web, celle-ci utilise souvent un identifiant unique, comme un numéro de compte. Dans un système sécurisé, le serveur doit vérifier que l’utilisateur est bien autorisé à consulter cette ressource.

Dans le cas d’une IDOR, ce contrôle est défaillant, voire inexistant. Il devient alors possible de modifier cet identifiant dans une requête pour accéder aux données d’un autre utilisateur. Un simple changement de paramètre, comme passer de user_id=12345 à user_id=12346, suffit à franchir la barrière.

L’exploitation peut être automatisée à grande échelle. En itérant sur des milliers, voire des millions d’identifiants, un attaquant peut aspirer des bases entières de données sans recourir à des techniques sophistiquées. Une opération presque triviale sur le plan technique, mais aux conséquences majeures.

Une faille connue depuis des décennies

Ce qui frappe dans cette affaire, c’est le caractère ancien et documenté de cette vulnérabilité. Les failles IDOR figurent depuis longtemps dans les référentiels de sécurité publiés par Open Worldwide Application Security Project, organisation de référence en matière de cybersécurité. Elles sont intégrées dans la catégorie des défaillances de contrôle d’accès, régulièrement classée parmi les risques les plus critiques du web.

Depuis 2021, ces failles dominent même le classement des vulnérabilités les plus répandues. Leur correction repose pourtant sur des principes fondamentaux du développement sécurisé : vérifier systématiquement les autorisations côté serveur et ne jamais faire confiance aux données fournies par l’utilisateur.

Loin des attaques sophistiquées reposant sur des failles inédites ou des techniques de cryptanalyse avancée, une IDOR illustre une réalité plus dérangeante. Parfois, ce sont les erreurs les plus basiques qui ouvrent la voie aux compromissions les plus massives. Dans le cas de l’ANTS, si cette piste se confirme, elle poserait avec acuité la question des pratiques de sécurisation des systèmes publics face à des menaces pourtant bien identifiées.

Sources :
Numerama – avril 2026 – https://www.numerama.com
OWASP – documentation officielle – https://owasp.org