ZATAZ » La mascarade des ventes de données prétendument issues de l’ANTS

Mi-2025, une alerte ZATAZ sur une mise en vente massive de fiches d’état civil a déclenché sept mois d’enquête autour d’une fuite présumée de l’ANTS. On vous raconte !

Mi-septembre 2025, des annonces sur plusieurs blackmarkets ont rouvert le dossier d’un fichier attribué à France Titres, géré par l’ANTS, contenant plus de dix millions de fiches d’état civil. ZATAZ avait signalé dès juin 2025 l’existence d’une offre initiale. Le pirate affirme avoir exfiltré les données en mars 2025 via un accès « Mairie » compromis à l’aide d’un stealer. Des échantillons de 100 000 et 100 001 lignes ont circulé. Les vendeurs multiplient pseudos et forums, évoquant entre 5 000 $ et 10 000 $ (4 600 € et 9 200 €) puis un tarif autour de 8 000 $ ( 7 360 €). L’enjeu est majeur en matière d’usurpation, de phishing et de RGPD. Bienvenue dans le monde ou les influenceurs servent la soupe à des pirates sans foi ni loi !

Sur DarkForum, un blackmarket sur le web, les données sont vendues 400 $ ou…

Accès et méthode revendiqués

Le scénario débute en mars 2025. Un individu se présentant sous les alias « Scattered » ou « Lapsus$ » revendique l’accès à COMEDEC, aujourd’hui France Titres, via le sous-domaine « Mairie » de l’ANTS. Il affirme avoir exploité des identifiants collectés par un logiciel espion, dit « stealer », installé sur une machine d’un employé. Cette compromission, classique dans le paysage des intrusions, a permis selon l’auteur la récupération massive de fiches d’état civil. Le pirate décrit une opération de scraping automatique après authentification valide. La base alors proposée contenait 10 342 621 entrées. Le même lot aurait ensuite été fragmenté et injecté dans un LockUp, un réservoir payant destiné à fournir, pour quelques euros, des dossiers ciblés à d’autres cyber acteurs. Aucune trace publique d’un incident officiel en mars n’est documentée dans les communications publiques, mais ZATAZ signale des échos d’activité malveillante autour de l’ANTS à l’ANSSI. La méthode d’accès annoncée par le pirate n’est pas trés claire. Il invente peut-être. Le cas du stealer reste cependant plausible. Un accès dérobé et exploité à partir d’informations collectées via les logs d’un logiciel espion. L’employé ainsi piégé a exploité une machine infiltrée. Peut-être son ordinateur personnel, le PC de son employer ou d’une machine externe. Dans tous les cas, il a rentré ses accès « Mairie ». Le voyou n’avait plus qu’à aspirer les données possibles.

La commercialisation, les échantillons et la confusion des chiffres

La vente initiale, chiffrée alors à 10 000 $ (9 200 €), s’accompagne d’un premier « proof » : un fichier échantillon de 100 000 identités. Les montants proposés varient ensuite de 5 000 $ à 10 000 $ (4 600 €–9 200 €), une fourchette qui interroge sur l’existence possible d’une version « light » moins complète. Les annonces de septembre 2025 montrent une diversification des pseudos vendeurs et des plateformes. Le diffuseur de mars réapparaît sous de nouveaux noms, notamment « ShinyHunters », puis des comptes intitulés « MoneyLover », « ESP32 », « 404 », « Topopow », « 123892 », « LeZ »,« DiDos» ou « 452812 » publient des offres similaires. Un second échantillon de 100 001 lignes circule, sélectionnant de façon artificielle des noms se terminant par Y et Z. Les quantités revendiquées divergent selon les forums : 10,3 millions via DataBreach (Darkweb), 12,3 millions ou 12,785,260 sur le web ou 13,7 millions sur le russophone Rutor (Darkweb). Le même échantillon d’origine semble être la base de toutes ces annonces, ce qui nourrit le doute sur l’authenticité et l’intégrité des jeux de données proposés. L’une des ventes propose le « fichier » pour 400 $ ! (sic!) Soit 9 600 $ de moins qu’en mars 2025. On notera aussi le changement de noms des échantillons, certains ont été nommés « Etat Civil ». Dernier détail intriguant concernant ces différents acteurs, l’apparition de « LAURA L. ». Cette personne indique, en Chinois, être « fournisseur de base de données » !  Elle signe sous différents pseudonymes sur des forums pirates, sur le web. Un autre s’affiche comme ayant été membre du groupe de rançongiciel Alphv. Bref, n’en jetez plus, ça tire dans tous les sens !

Sous différentes signatures pirates, les données présumées volées sont vendues, ici 8 000 $.

Les fichiers présentés contiennent, selon les annonces et les extraits une gamme d’attributs sensibles : identifiants nominaux, dates et lieux de naissance, adresses postales précises, numéros de téléphone personnels et professionnels, adresses courriel privées et officielles, et des « données parentales ». Ces éléments suffisent à permettre des actions malveillantes à grande échelle : usurpation d’identité, campagnes d’hameçonnage ciblées, harponnage administratif et commercial. ZATAZ précise toutefois que, à la date des révélations, seules la diffusion d’un échantillon substantiel et des publications d’« influenceurs » sur X/LinkedIn étayent la revendication du pirate. Le schéma est simple : le pirate publie, les « influ’s » relaient, puis les internautes, impressionnés par l’étendue supposée des données, reprennent ces éléments, ce qui renforce la visibilité et la valeur commerciale des annonces. Il est possible que, derrière le tapage médiatique, les pirates vendent surtout du vent.

Un marché fragmenté, multilingue et géopolitique

Les annonces circulent sur plusieurs espaces clandestins, y compris des forums russophones reconnus dans l’écosystème underground. La diffusion sur des sites comme le russophone « Rutor » a été découvert par ZATAZ. Vendre sur des plateformes étrangères ajoute une dimension géopolitique et complique la traçabilité. La pluralité des vendeurs peut traduire des copies du même lot, des tentatives d’arnaque opportuniste, ou une distribution contrôlée par un opérateur unique recherchant la dissémination pour monétiser plusieurs fois la même base. Un élément spécifique alerte : la présence d’un message provocateur adressé à la firme Mandiant dans l’une des annonces de « ShinyHunters », signe d’une posture agressive mais peu informative sur l’origine réelle du vol. « ~ ShinyHunters – we onnnattt boyyyy FUCK MANDIANT – WHY REDEEM SAALEAS FAARCE COADEEE!!! NO REDEEEM SAAR!!!! » affiche le pirate aux multiples pseudonymes.

Le forum russophone « Rutor » n’est accessible que via le paiement d’un droit d’accès.

Je vous parlais de lui, début septembre à la suite de propos trés aggressifs diffusés sur Telegram. Sa formulation est volontairement déformée, proche du « leet speak » ou d’un anglais parodique, pour accentuer un ton moqueur. Un message qui visait la filiale de Google, spécialisée en cybersécurité, rachetée en 2022 par Google Cloud. Un mélange de provocation et de communication « marketing » destiné à attirer l’attention sur leur propre offre de données. Une manière pour ShinyHunters de se positionner dans l’écosystème underground comme un acteur défiant l’industrie de la cybersécurité.

Liens présumés entre acteurs et antécédents

Les présumées données volées à l’ANTS, aprés avoir disparu de la circulation fin mars, réapparaissent en septembre 2025 via les pseudos : MoneyLover. Quelques heures plus tard, retour sur le devant de la scène du diffuseur de mars 2025 ! La nouvelle vente annonce cette fois plus de 12 millions de lignes, des données incluant : « Nom_1,Prénom_1,Complément,Voie-rue,Lieu-dit,Code postal,Bureau distributeur,Civilité,Sexe,Nom_2,Prénom_2,Né(e) le,Lieu de naissance,Décédé(e) le,Pays ou DOM-TOM,Téléphone domicile,Téléphone travail,Fax domicile,Fax travail,Mobile personnel,Mobile travail,Email principal,Email officiel » et un prix, 8 000$ (soit 2 000 de moins qu’en mars) 2025. A partir du 12 septembre 2025, soit 7 mois parés l’alerte de ZATAZ, les ventes s’enchainent. On retrouver 5 vendeurs « différents » sur 4 forums pirates différents. Les rédactions et certains « experts » du darkweb ont rapidement amplifié l’information, parfois sans vérification suffisante. ZATAZ décrit le phénomène comme une mascarade organisée par un internaute pirate solitaire ou un acteur communiquant depuis une situation de liberté surveillée, voire depuis un téléphone en détention.

Les propos et les heures de diffusion le laissent penser, mais cela peut-être un hasard. Cette mise en scène sert surtout plusieurs objectifs : tester la valeur commerciale du lot, semer la panique médiatique (communication de crise en période géopolitique trouble, et je ne parle pas que du voisin Russe), ou revendiquer une notoriété dans l’écosystème illicite.

ZATAZ signale cependant que l’ANSSI a été saisie du dossier sous le numéro [105682]. Le rôle des autorités est central : confirmer l’incident, informer les personnes concernées, ordonner les mesures de remédiation et, si nécessaire, procéder à des sanctions. La communication officielle est apparue le 20 septembre 2025 [voir ci-dessus], via un communiqué de presse de l’ANTS.

Certains pirates ont-ils eu accès aux données, qu’ils revendent ensuite ?

La réponse officielle de France Titres

Le 20 septembre 2025, France Titres a publié un communiqué à propos des fichiers annoncés comme provenant de l’ANTS et mis en vente sur le dark web. Selon l’opérateur, un échantillon circule effectivement en accès libre. Mais l’analyse effectuée révèle de nombreuses incohérences, en particulier des formats de données qui ne correspondent pas aux systèmes internes. L’organisme insiste sur le fait que les dispositifs de sécurité déployés rendent hautement improbable toute intrusion, qu’elle soit physique ou informatique. France Titres précise néanmoins qu’une série d’investigations techniques approfondies est en cours afin de déterminer l’origine des informations et d’identifier les auteurs de leur diffusion. Enfin, l’établissement annonce avoir engagé des actions judiciaires contre les responsables présumés ainsi que contre toute personne participant à la propagation de ces données.

Annonces farfelues pour faire planer un doute sur la cyber sécurité en France ? Plus d’un pays « plus ou moins amis » souhaiteraient faire taire la politique hexagonale !

Selon la version revendiquée par le premier pirate, la compromission aurait débuté par la récupération de logs produits par un stealer sur une machine d’un agent disposant de l’accès « Mairie ». Ces identifiants auraient servi ensuite à authentifier des sessions légitimes et à exfiltrer les enregistrements disponibles via France Titres. Le recours à un logiciel espion est fréquent dans des attaques dites par ingénierie sociale et ciblage. De nombreuses entreprises hexagonales en ont fait les frais ces derniers mois. La vente en LockUp et la revente par fragments correspondent à des pratiques éprouvées du marché noir des données.

Toutefois, la répétition d’annonces, la variation des volumes revendiqués et la réutilisation d’un même échantillon rendent plausible l’hypothèse d’une escroquerie commerciale visant à maximiser l’exposition tout en vendant des copies ou des faux à d’autres pirates qui n’iront pas se plaindre auprès des autorités !

Bref. L’affaire combine éléments vérifiables et postures théâtrales. ZATAZ documente des preuves d’échantillons et retrace sept mois d’observations. Reste à établir, de façon publique et technique, si l’ANTS a effectivement subi une exfiltration à l’échelle décrite ou si l’opération relève d’une manœuvre de marché noir reposant sur des copies et des faux. Trés honnêtement, je penche pour la version affichée publiquement par l’ANTS.

Dernier détail qui viendrait renforcer notre idée que le primo accèdent de l’ANTS est l’un des fournisseurs, si ce n’est LE fournisseur, des bases de données piratées comme SFR, LDLC, Boulanger, France Travail, Etc. qui parcourent le web malveillant depuis, pour certains, 2022. Sous un autre pseudonyme il tente de commercialiser un dossier du nom de « Ameli.fr » comme le montre la capture écran ci-dessous. Un contenu à mille lieux de ce qui est annoncé.