Les Numériques
Par
Juliette Sbranna
Publié le 22/09/25 à 19h45

Un fichier prétendument volé à l’ANTS circulerait sur le dark web. Entre rumeurs, échantillons douteux et annonces répétées, on fait le point sur cette affaire et sur ce qui est avéré.

L’ANTS dément le piratage de 12 millions de données : on fait le point sur l’affaire
3
Un fichier prétendument volé à l’ANTS circulerait sur le dark web. Entre rumeurs, échantillons douteux et annonces répétées, on fait le point sur cette affaire et sur ce qui est avéré.

L'ants aurait été volée de 12 millions de données, mais la rumeur serait fausse

Depuis ce week-end, des rumeurs concernant un vol de données de l’ANTS ont circulé. Sauf que ’affaire a pris une tournure inattendue lorsque l’agence a finalement démenti ces rumeurs, tout en laissant la porte ouverte à la possibilité de la perte de quelques informations. Voici un point sur cette situation.

Pour rappel l'Agence Nationale des Titres Sécurisés devenue France Titres, est l'organisme public créé par l’État, qui s’occupe de fabriquer et de délivrer les documents officiels, comme les cartes d’identité, les passeports ou les permis de conduire. Lorsqu’une demande est faite en mairie ou en ligne, c’est elle qui centralise et produit le titre, ce qui poserait un réel problème en cas de fuite.

L'ANTS n'aurait pas été volé
Il serait question d’environ 12 millions de données de l'ANTS circulant sur le dark web et d’un échantillon en libre accès, prétenduemment volés. Cependant, l’affaire a pris une tournure particulière lorsque l’agence a démenti ces rumeurs.

Selon l’ANTS, aucune intrusion n’a été détectée jusqu’à présent. Le groupe précise qu’il, qui dépend du ministère de l’Intérieur et gère des données sensibles, est soumis à des mesures de sécurité strictes et à une surveillance constante des services de l’État.

Aucune intrusion n’a été identifiée au sein des systèmes d’information de l’ANTS, que ce soit par les services de l’agence ou par ceux du ministère de l’Intérieur.

L’échantillon disponible sur le dark web,contient de nombreuses incohérences

Quant à ce fameux échantillon en libre accès, c’est là que l’affaire devient intéressante, car le média ZATAZ a découvert que ce fichier, prétendument de l’ANTS était déjà en vente depuis des mois.

Publicité, votre contenu continue ci-dessous
Publicité
Le même fichier de plus de 10 millions de fiches d’état civil géré par l’ANTS a été exfiltré en mars 2025 via un entrée compromise et a circulé sur le dark web à plusieurs reprises, avec des annonces repérées en juin et relancées mi-septembre 2025. Les pseudos des vendeurs et les plateformes changent, mais il s’agirait bien de la même fuite.

Cependant, ici aussi l’ANTS rassure ses utilisateurs, car ces données seraient non conformes aux formats de l’agence et présenteraient beaucoup trop d’incohérences pour être véridiques.

L’échantillon disponible sur le dark web, présenté comme « produit d’appel », contient de nombreuses incohérences et des formats qui ne correspondent pas à ceux de l’ANTS.

Un pirate à la méthode déjà connue ?
Toutefois, même avec des informations fausses, le pirate pourrait ressortir gagnant : le schéma est simple,il publie, les influenceurs relaient, et les internautes amplifient, renforçant la visibilité et la valeur commerciale des annonces. Bref, un arnaqueur qui en plume d’autres en vendant des données trompeuses.

Pour l’instant, l’affaire est à suivre, mais l’ANTS a porté plainte contre X et poursuivra le dossier devant la justice. L’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI) est aussi mobilisée pour identifier l’origine de ces données et les auteurs de leur diffusion.

Au final, si l’ANTS rassure sur l’absence d’intrusion dans ses systèmes, la circulation éventuelle de certaines données reste une possibilité à surveiller.

CERTFR-2025-CTI-009
Date de la dernière version 01 juillet 2025

In September 2024, ANSSI observed an attack campaign seeking initial access to French entities’ networks through the exploitation of several zero-day vulnerabilities on Ivanti Cloud Service Appliance (CSA) devices. French organizations from governmental, telecommunications, media, finance, and transport sectors were impacted. ANSSI’s investigations led to the conclusion that a unique intrusion set was leveraged to conduct this attack campaign. The Agency named this intrusion set « Houken ». Moderately sophisticated, Houken can be characterized by an ambivalent use of resources. While its operators use zero-day vulnerabilities and a sophisticated rootkit, they also leverage a wide number of open-source tools mostly crafted by Chinese-speaking developers. Houken’s attack infrastructure is made up of diverse elements - including commercial VPNs and dedicated servers.

ANSSI suspects that the Houken intrusion set is operated by the same threat actor as the intrusion set previously described by MANDIANT as UNC5174. Since 2023, Houken is likely used by an access broker to gain a foothold on targeted systems, which could eventually be sold to entities interested in carrying out deeper post-exploitation activities. Though already documented for its opportunistic exploitation of vulnerabilities on edge devices, the use of zero-days by a threat actor linked to UNC5174 is new to ANSSI’s knowledge. The operators behind the UNC5174 and Houken intrusion sets are likely primarily looking for valuable initial accesses to sell to a state-linked actor seeking insightful intelligence. However, ANSSI also observed one case of data exfiltration as well as an interest in the deployment of cryptominers, indicating straight-forward profit-driven objectives.

2.1 The attack campaign in a nutshell
At the beginning of September 2024, an attacker repeatedly exploited vulnerabilities CVE-2024-
8190, CVE-2024-8963, and CVE-2024-9380 vulnerabilities to remotely execute arbitrary code
on vulnerable Ivanti Cloud Service Appliance devices [1, 2, 3, 4]. These vulnerabilities were
exploited as zero-days, before the publication of the Ivanti security advisory [5, 6, 7].
The attacker opportunistically chained these vulnerabilities to gain initial access on Ivanti CSA
appliances, with the intention of:
• Obtaining credentials through the execution of a base64 encoded Python script1
.
• Ensuring persistence, by:
– deploying or creating PHP webshells;
– modifying existing PHP scripts to add webshells capabilities;
– occasionally installing a kernel module which acts as a rootkit once loaded.
Likely in an effort to prevent exploitation by additional unrelated actors, the attacker attempted
to self-patch web resources affected by the vulnerabilities.
On occasions, and after establishing a foothold on victim networks through the compromise
of Ivanti CSA devices, the attacker performed reconnaissance activities and moved laterally.
In-depth compromises allowed the attacker to gather additional credentials and deploy further
persistence mechanisms. Most recent activities around this attack campaign were observed
at the end of November 2024 by ANSSI.

Several incidents affecting French entities, and linked to this attack campaign, were observed
by ANSSI at the end of 2024. The campaign targeted french organizations from governmental,
telecommunications, media, finance, and transport sectors.
In three cases, the compromise of Ivanti CSA devices was followed by lateral movements toward
the victims’ internal information systems. The malicious actor also collected credentials and
attempted to establish a persistence on these compromised networks. Attacker’s operational
activities time zone was UTC+8, which aligns with China Standard Time (CST).
ANSSI provided significant support to these entities, a

Dans cette quatrième édition du panorama de la menace, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) revient sur les grandes tendances de la menace informatique ainsi que sur les éléments et incidents marquants dont elle a eu connaissance en 2024.
Dans la continuité des années précédentes, l’ANSSI estime aujourd’hui que les attaquants liés à l’écosystème cybercriminel ou réputés liés à la Chine et la Russie constituent les trois principales menaces tant pour les systèmes d’information les plus critiques que pour l’écosystème national de manière systémique.

L’année 2024 aura également été marquée par l’organisation des Jeux Olympiques et Paralympiques de Paris ainsi que par le nombre et l’impact des vulnérabilités affectant les équipements de sécurité situés en bordure de SI.

An alert from France's ANSSI confirms several incidents that had previously been publicly reported and attributed to the Kremlin-backed hacking group that the French agency tracks as Nobelium.

La loi de programmation militaire prévoit que l'autorité n'aura pas besoin d'une décision de justice. Un contrôle sera réalisé a posteriori par l'Arcep.

Les tensions internationales actuelles causées par l’invasion de l’Ukraine par la Russie s’accompagnent d’effets dans le cyberespace. Si les combats en Ukraine sont principalement conventionnels, l’ANSSI constate l’usage de cyberattaques dans le cadre du conflit. Dans un espace numérique sans frontières, ces cyberattaques peuvent affecter des entités françaises et il convient sans céder à la panique de l’anticiper et de s’y préparer. Aussi, afin de réduire au maximum la probabilité de tels événements et d’en limiter les effets, l’ANSSI partage des bonnes pratiques de sécurité ainsi que des éléments sur la menace et invite l’ensemble des acteurs à s’en saisir. A cette fin, ce bulletin centralise et diffuse les éléments d’intérêt cyber en lien avec le contexte actuel pour favoriser le renforcement du niveau de protection de l’ensemble des entités françaises. Il sera mis à jour régulièrement.