{"id":3001,"date":"2026-04-28T09:36:22","date_gmt":"2026-04-28T07:36:22","guid":{"rendered":"https:\/\/www.komanche.fr\/?p=3001"},"modified":"2026-04-28T09:36:22","modified_gmt":"2026-04-28T07:36:22","slug":"piratage-de-lants-la-lecon-pour-les-operateurs-critiques","status":"publish","type":"post","link":"https:\/\/www.symposium-baikal.org\/APEER\/2026\/04\/28\/piratage-de-lants-la-lecon-pour-les-operateurs-critiques\/","title":{"rendered":"Piratage de l’ANTS : la le\u00e7on pour les op\u00e9rateurs critiques"},"content":{"rendered":"\t\t
\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t
\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t

Piratage de l'ANTS : la le\u00e7on pour les op\u00e9rateurs critiques<\/h2>\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t

Le 15 avril 2026, le portail de l’ANTS \u00e9tait pirat\u00e9. Plusieurs millions de comptes potentiellement concern\u00e9s \u2014 certaines estimations \u00e9voquent jusqu\u2019\u00e0 19 millions.<\/p>

La faille ? Les premi\u00e8res analyses \u00e9voquent une vuln\u00e9rabilit\u00e9 de type IDOR sur l\u2019API \u2014 il suffisait de modifier un identifiant dans une requ\u00eate pour acc\u00e9der aux donn\u00e9es d’un autre utilisateur. L\u2019attaque ne semble pas avoir repos\u00e9 sur des m\u00e9canismes particuli\u00e8rement sophistiqu\u00e9s. Une erreur de conception sur un point pr\u00e9cis : les droits d’acc\u00e8s \u00e0 l’API n’\u00e9taient pas v\u00e9rifi\u00e9s c\u00f4t\u00e9 serveur.<\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t\n\t\t\t\t\t\t<\/span>\n\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t
\n\t\t\t\t
\n\t\t\t\t\t\t\t

Ce type de faille est document\u00e9, connu, et pourtant r\u00e9current. Il r\u00e9v\u00e8le un angle mort fr\u00e9quent : les interfaces d’\u00e9change de donn\u00e9es \u2014 les API \u2014 sont d\u00e9velopp\u00e9es pour fonctionner, rarement con\u00e7ues pour r\u00e9sister. Sur le portail ANTS, l’API permettait \u00e0 n’importe quel utilisateur authentifi\u00e9 d’interroger les donn\u00e9es d’un autre, simplement en changeant un param\u00e8tre. Aucune v\u00e9rification que la donn\u00e9e demand\u00e9e appartient bien \u00e0 celui qui la demande.<\/p>

Dans un syst\u00e8me de vid\u00e9oprotection connect\u00e9, les m\u00eames questions se posent concr\u00e8tement : les API d’acc\u00e8s aux flux vid\u00e9o v\u00e9rifient-elles l’identit\u00e9 et les droits de chaque requ\u00eate ? Les acc\u00e8s distants au VMS sont-ils authentifi\u00e9s avec des m\u00e9canismes robustes \u2014 certificats, MFA ? Les logs d’acc\u00e8s sont-ils conserv\u00e9s et auditables ? Les segments r\u00e9seau entre cam\u00e9ras, serveur VMS et postes op\u00e9rateurs sont-ils correctement isol\u00e9s ?<\/p>

Ce ne sont pas des questions th\u00e9oriques. Ce sont pr\u00e9cis\u00e9ment ces m\u00e9canismes \u2014 API mal contr\u00f4l\u00e9es, d\u00e9faut de segmentation, absence de tra\u00e7abilit\u00e9 \u2014 que l\u2019ANSSI retrouve le plus souvent dans les incidents r\u00e9els.<\/p>

C’est parce que la donn\u00e9e est au c\u0153ur de la valeur op\u00e9rationnelle d’un syst\u00e8me de s\u00fbret\u00e9 que Komanche a con\u00e7u K-Safe<\/a> avec le chiffrement natif des flux vid\u00e9o en AES-256, l’authentification mutuelle par certificats X.509, et la tra\u00e7abilit\u00e9 compl\u00e8te des acc\u00e8s \u2014 non comme des options, mais comme des conditions de fonctionnement.<\/strong><\/p>\t\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t

\n\t\t\t\t
\n\t\t\t\t\t
\n\t\t\t\n\t\t\t\t\t\t\n\t\t\t\t\t\t\t\t\tVous avez des enjeux de s\u00fbret\u00e9 strat\u00e9giques ? Contactez-nous <\/span>\n\t\t\t\t\t<\/span>\n\t\t\t\t\t<\/a>\n\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t\t\t<\/div>\n\t\t","protected":false},"excerpt":{"rendered":"

Le 15 avril 2026, le portail de l’ANTS \u00e9tait pirat\u00e9. Plusieurs millions de comptes potentiellement concern\u00e9s \u2014 certaines estimations \u00e9voquent jusqu\u2019\u00e0 19 millions…<\/p>\n","protected":false},"author":1,"featured_media":3006,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"elementor_header_footer","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[5],"tags":[13,27,31],"class_list":["post-3001","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cybersecurite-surete-physique","tag-chiffrement-donnees-oiv","tag-maitrise-donnees-systeme-surete","tag-securite-api-videoprotection-infrastructures-critiques"],"acf":[],"_links":{"self":[{"href":"https:\/\/www.symposium-baikal.org\/APEER\/wp-json\/wp\/v2\/posts\/3001","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.symposium-baikal.org\/APEER\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.symposium-baikal.org\/APEER\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.symposium-baikal.org\/APEER\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.symposium-baikal.org\/APEER\/wp-json\/wp\/v2\/comments?post=3001"}],"version-history":[{"count":0,"href":"https:\/\/www.symposium-baikal.org\/APEER\/wp-json\/wp\/v2\/posts\/3001\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.symposium-baikal.org\/APEER\/wp-json\/"}],"wp:attachment":[{"href":"https:\/\/www.symposium-baikal.org\/APEER\/wp-json\/wp\/v2\/media?parent=3001"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.symposium-baikal.org\/APEER\/wp-json\/wp\/v2\/categories?post=3001"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.symposium-baikal.org\/APEER\/wp-json\/wp\/v2\/tags?post=3001"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}