Internet. Pierre & Vacances, Belambra, Gîtes de France… ce que l’on sait des fuites de données dans le tourisme

Le tourisme français dans le collimateur des pirates ? Après son rival Maeva, c’est au tour des clubs de vacances Belambra d’être victime d’une fuite de données. Depuis samedi, une série de fichiers contenant plus de 400 000 enregistrements sont accessibles sur un forum spécialisé du dark web. Parmi les données volées figurent notamment les données de près de 42 000 clients ayant réservé un séjour depuis novembre 2025, ainsi que les noms d’environ 360 000 mineurs. Aucune coordonnée bancaire ou adresse postale ne figure parmi les données volées. Le groupe français, qui exploite 44 clubs et hôtels de vacances en France, a reconnu samedi qu’un « incident de sécurité a été identifié, ayant entraîné un accès frauduleux à une partie de nos infrastructures numériques ainsi qu’à certaines des données relatives au dossier de réservation de nos clients ». Il a porté plainte.

Quelques heures après celle de Belambra, une autre base de données attribuée aux Gîtes de France est apparue sur le même forum fréquenté par les cybercriminels. Elle concernerait près de 390 000 clients. Selon un échantillon fourni par le pirate, elle contiendrait notamment des noms, adresses et numéros de téléphone, dates et lieux de réservation.

Le même hacker derrière toutes les fuites

Ces deux nouvelles fuites interviennent au lendemain de celle, massive, dont a fait l’objet vendredi le groupe Pierre & Vacances-Center Parcs, leader du séjour touristique en France. Plus de 4,5 millions d’enregistrements – informations de réservation, dates de séjour ou coordonnées clients – auraient été siphonnés. Le pirate affirme être parvenu à voler vingt années d’historique, selon le site FrenchBreaches qui l’a contacté. De son côté, Pierre & Vacances-Center Parcs a précisé que la faille ne concernerait que sa plateforme La France du Nord au Sud, filiale de sa marque Maeva. Selon le groupe, qui a porté plainte, seules les informations relatives à 1,6 million de réservations auraient été volées.

Toutes ces fuites sont attribuées au même hacker, ChimeraZ, apparu le mois dernier sur un forum anglophone prisé des cybercriminels. Le pirate a également revendiqué ces dernières semaines plusieurs autres fuites, notamment du Collège de France, de l’Académie d’Aix-Marseille, ou du groupe hôtelier Nemea. Cette dernière contiendrait des informations très sensibles, identifiants bancaires ou documents d’identité.

« France passoire » : une commission d’enquête au Sénat ?

Les données issues de ces fuites sont fréquemment utilisées par les cybercriminels pour mener des campagnes de phishing ciblé, voire des escroqueries ou usurpations d’identité. Selon plusieurs rapports d’experts, la France fait désormais partie des pays les plus touchés. Le site French Breaches a recensé 485 fuites sur les 12 derniers mois. Certaines exploitent des failles très connues, à l’image de celle qui avait permis d’exfiltrer des millions d’enregistrements du site de l’ANTS (France Titres) le mois dernier. La sécurisation insuffisante des données figure parmi les causes principales des 83 sanctions prononcées l’année dernière par la CNIL. Dénonçant une « France passoire », la sénatrice centriste Nathalie Goulet vient de demander la création d’une commission d’enquête.

On attend également toujours la transposition par la France de la directive européenne NIS2, qui doit étendre les obligations de cybersécurité imposées aux infrastructures essentielles à plusieurs dizaines de milliers d’entreprises et d’administrations. Prévue à l’origine pour octobre 2024, sa transposition a toutefois pris beaucoup de retard, en raison du bras de fer entre le ministère de l’Intérieur et le Parlement autour de l’introduction de « portes dérobées » au sein des messageries.