France Titres, ex ANTS, il portale statale per documenti come carte d’identità, passaporti e patenti di guida dei cittadini francesi è stata compromessa il 15 aprile 2026. La notizia è arrivata al pubblico cinque giorni dopo, quando il Ministero dell’interno ha confermato l’incidente con un comunicato.Nel frattempo, su forum criminali specializzati circolava già la presunta base dati in vendita – con campioni, campi tecnici e una battuta beffarda sull’incapacità difensiva dello stato francese: “Il governo francese farebbe meglio ad attenersi alle arti culinarie. Le sue difese digitali sono sfogliabili quanto i suoi croissant”.Nello stesso periodo l’Ue presenta una nuova app di verifica dell’età degli utenti social (per proteggere i bambini dai pedofili, la solita scusa dei dittatori di stato), subito violata da un ricercatore. Pavel Durov, il fondatore di Telegram, ha avvertito che futuri incidenti potrebbero essere ancora più gravi se il governo francese ottenesse accesso a chat cifrate e identità digitali.L’attacco a France TitresIl portale ants.gouv.fr centralizza le richieste per i principali documenti d’identità francesi. È, in altre parole, la banca dati più sensibile che uno stato possa gestire: ogni francese che abbia mai richiesto una carta d’identità, un passaporto o una patente vi ha lasciato una traccia digitale.L’intrusione è stata individuata internamente il 15 aprile. Il comunicato pubblico è arrivato il 20 aprile – cinque giorni dopo. In quel lasso di tempo, un collettivo che opera sotto gli pseudonimi “breach3d” e “ExtaseHunters” aveva già pubblicato su un forum criminale l’annuncio di vendita, con data 16 aprile. Gli identificatori interni sequenziali presenti nei campioni suggeriscono un’estrazione strutturata da una base dati, non un semplice scraping superficiale.Il perimetro dei dati esposti è ampio: identificativo di accesso, nome e cognome, data di nascita, indirizzo email, indirizzo postale, luogo di nascita, numero di telefono. Ma c’è un campo che merita attenzione particolare: l’indicatore di certificazione governativa. Un campo che segnala se l’identità dell’utente è stata verificata dallo stato – “certifié: vrai/faux”.Per un attaccante specializzato in frode documentale, un’identità certificata dalla pubblica amministrazione vale molto di più di una semplice credenziale di accesso. Sono presenti anche dati professionali: stato professionale, codice Siren, abilitazioni. I conti business sono ugualmente compromessi.La falla tecnicaSecondo il sito FrenchBreaches, la vulnerabilità sfruttata sarebbe di tipo IDOR – Insecure Direct Object Reference. Modificando semplicemente un identificatore nelle richieste a un’Api, era possibile accedere alle schede utente in modo sistematico, senza alcuna verifica dei permessi di accesso.Non si tratta di una tecnica avanzata. È una vulnerabilità documentata da decenni, presente in quasi tutti i manuali di sicurezza applicativa di base. Non ha richiesto strumenti sofisticati né un team di élite. Il portale dello stato francese che gestisce le identità di decine di milioni di cittadini era protetto da un controllo che chiunque conosca le basi dello sviluppo web avrebbe potuto aggirare.L’Ue e l’app bucata in due minutiIl 16 aprile 2026 – un giorno dopo l’attacco a France Titres – la Commissione Europea ha presentato la sua nuova app di verifica dell’età, descritta da Ursula von der Leyen come “tecnicamente pronta” e allineata “ai più alti standard di privacy a livello mondiale”.Il consulente di sicurezza Paul Moore l’ha analizzata e ne ha trovato le fondamenta fragili in meno di due minuti. I problemi sono strutturali, non superficiali. Il Pin cifrato è memorizzato localmente, ma non è legato all’archivio delle credenziali d’identità. Cancellando specifici valori dal file di configurazione e riavviando l’app, è possibile impostare un nuovo Pin mantenendo le credenziali del profilo precedente.Il contatore del rate limiting – il meccanismo che blocca i tentativi ripetuti – è un semplice valore numerico nello stesso file modificabile. Azzerarlo annulla qualsiasi protezione brute force. L’autenticazione biometrica è controllata da un singolo flag booleano: cambiarlo da “vero” a “falso” la disabilita completamente.I controlli di sicurezza non erano nel secure enclave del dispositivo, ma in un file di testo editabile dall’utente. Uno sviluppatore ha commentato online: “Perché non hanno usato il secure enclave?” — una domanda retorica, perché la risposta è ovvia a chiunque abbia progettato sistemi di autenticazione mobile.I commenti di DurovPavel Durov, fondatore e ceo di Telegram, ha commentato entrambi gli episodi con una lucidità che vale la pena riportare. Sull’app dell’Ue ha scritto sul suo canale:La loro app di age verification era violabile per design – si fidava del dispositivo. Questo è un game over immediato dal punto di vista della sicurezza.E ha delineato quello che descrive come il percorso predefinito di questi progetti: “Presentare un’app rispettosa della privacy ma violabile… subire una violazione… rimuovere la privacy per correggere l’app”. Il risultato finale, secondo Durov: “uno strumento di sorveglianza venduto come rispettoso della privacy”.Sul caso France Titres, il messaggio è ancora più diretto:Le future violazioni saranno ancora più catastrofiche se il governo francese otterrà ciò che vuole: accesso alle chat cifrate e alle identità digitali degli utenti dei social media.Lo stato francese – afferma – ha perso le identità di almeno 11,7 milioni di cittadini – quelle che doveva tutelare per legge e per mandato istituzionale. Negli stessi giorni, l’Unione europea presentava uno strumento di identificazione digitale incapace di resistere a un attacco elementare della durata di meno di centoventi secondi.Eppure la traiettoria politica non cambia: più age verification, più Digital ID, più accesso statale alle comunicazioni cifrate, più dati centralizzati nelle mani di istituzioni che hanno dimostrato, ripetutamente, di non essere in grado di proteggerli.Oltre 405 ricercatori di sicurezza hanno firmato una lettera aperta avvertendo che le leggi sull’age verification riducono la privacy e aumentano i rischi di sorveglianza. La risposta istituzionale, finora, è stata di andare avanti comunque.Centralizzare è creare bersagliOgni base dati centralizzata è, per definizione, un bersaglio. Più è ricca di dati sensibili – identità certificate, abilitazioni professionali, indicatori biometrici – più è appetibile per gli attaccanti.Il principio della minimizzazione dei dati esiste esattamente per questo motivo. Va nella direzione opposta a quella in cui si muovono oggi i legislatori europei, che chiedono alle piattaforme di raccogliere e verificare l’identità di centinaia di milioni di utenti. Nel frattempo, Discord ha dovuto rimandare il suo rollout globale di verifica dell’età dopo che esperti di sicurezza hanno avvertito della creazione di centrali di identità – “honey pot” – vulnerabili agli attacchi.La domanda che rimane in sospeso non è tecnica. È politica: perché i governi continuano a costruire basi dati centralizzate di identità digitali – e a chiedere accesso alle comunicazioni cifrate dei cittadini – quando hanno dimostrato di non essere custodi affidabili nemmeno delle informazioni che già detengono? France Titres non è un incidente isolato. È la norma. E la prossima base dati violata sarà probabilmente più grande, perché i governi continuano a raccogliere sempre più dati.L'articolo Il fallimento delle app di Stato, incapaci di tutelare i dati dei cittadini proviene da Nicolaporro.it.