Piratage tourisme : 5 millions de clients exposés, et le pire risque n’est pas celui qu’on croit
En trois jours, entre le 15 et le 17 mai 2026, un seul pirate informatique a fait tomber trois géants du tourisme français : Pierre & Vacances, Belambra et Gîtes de France. Plus de cinq millions de Français sont concernés. Des noms, des adresses postales, des numéros de téléphone, et surtout, le détail précis de leurs réservations estivales : où ils seront, quand ils y seront, et donc quand ils ne seront pas chez eux. À quelques semaines des vacances d’été, c’est le guide Michelin des demeures à cambrioler qui circule désormais sur le dark web.
Le hacker, connu sous le pseudonyme de ChimeraZ, a revendiqué ces trois attaques sur des forums cybercriminels. Son motif affiché : « Démontrer que la France est une passoire en matière de cybersécurité ». La démonstration est réussie.
🔑
À retenir
3 attaques en 3 jours : Pierre & Vacances (15 mai), Belambra (16 mai), Gîtes de France (17 mai)
+5 millions de personnes potentiellement concernées au total
360 000 mineurs dont les données ont été exposées chez Belambra
30 ans d’historique de réservations potentiellement volées chez Gîtes de France (1995-2026)
Même faille IDOR que celle exploitée contre l’ANTS en avril 2026
Même hacker (ChimeraZ) derrière les trois fuites, ainsi que Thales, Nemea, et d’autres
Chronologie : trois jours, trois géants du tourisme
15 mai 2026
Pierre & Vacances-Center Parcs
1,6 million de réservations exposées
Données remontant à 2005
Noms, téléphones, dates et lieux de séjour, commentaires clients
Faille IDOR sur la plateforme « La France du Nord au Sud » (Maeva)
Le pirate a aspiré les données pendant 3 semaines sans être détecté
16-17 mai 2026
Belambra & Gîtes de France
402 000 personnes chez Belambra, dont 360 000 mineurs
389 000 clients chez Gîtes de France
Historique de 30 ans de réservations (1995-2026)
Adresses postales, téléphones, dates, prix, taxes de séjour
Gîtes de France : faille via le prestataire Itea
Le groupe Pierre & Vacances-Center Parcs (PVCP) a confirmé l’incident le 15 mai et déposé plainte contre X. La faille a été identifiée comme une vulnérabilité de type IDOR (Insecure Direct Object Reference), la même catégorie que celle exploitée contre l’ANTS en avril 2026. Il s’agit d’une faille de contrôle d’accès : un utilisateur authentifié modifie un identifiant dans une URL (par exemple un numéro de réservation) et récupère les données correspondantes sans que le serveur ne vérifie ses droits. Un attaquant automatise la requête, boucle sur les identifiants successifs et siphonne l’intégralité d’une base.
Cette catégorie de faille occupe la première place du classement OWASP API Security depuis 2019, sous le nom de Broken Object Level Authorization (BOLA). Et pourtant, elle reste l’une des plus courantes et des plus simples à exploiter.
ChimeraZ : « La France est une passoire »
Le pirate ChimeraZ, contacté par le site French Breaches via la messagerie sécurisée Session, a été transparent sur ses motivations : gagner en visibilité et prouver la faiblesse de la cybersécurité française. Il affirme trouver accès et failles en « quinze minutes au maximum ». Et ce n’est pas tout.
Le même hacker a également revendiqué ces dernières semaines des fuites chez Thales (via le prestataire Luxtrust), le groupe hôtelier Nemea (proposée à 50 000 dollars), le Collège de France, et l’Académie d’Aix-Marseille. Il indique que plusieurs prochaines cibles auraient déjà été compromises et seraient publiées dans les jours suivants, citant notamment de grandes structures touristiques, une compagnie aérienne et une fédération.
Selon French Breaches, la France fait désormais partie des pays les plus touchés au monde : 485 fuites recensées sur les 12 derniers mois. Le site Surfshark classe la France en deuxième position mondiale pour les profils compromis, avec 23,5 millions de citoyens exposés au premier trimestre 2026, derrière les États-Unis.
Le précédent de la Fédération Française de Tir : des cambriolages ciblés
L’affaire de la Fédération Française de Tir (FFTir) en octobre 2025 est une illustration glaçante de ce qui peut se passer quand des données sensibles tombent entre de mauvaises mains. Les données personnelles de près de 300 000 licenciés ont été exfiltrées par un hacker de 18 ans et mises en vente sur le darknet pour 10 000 euros.
En avril 2026, le ministre de l’Intérieur Laurent Nuñez a reconnu à l’Assemblée nationale qu’entre 20 et 30 cambriolages ciblés découlaient directement de cette fuite. À Nice, cinq armes lourdes ont été volées par un faux agent. Dans la région lyonnaise, neuf armes et 1 300 munitions ont été dérobées lors d’un braquage violent. Une simple base de données s’est transformée en filière d’approvisionnement pour le trafic d’armes.
⚠️ Le risque est le même, en plus grand
Avec la Fédération Française de Tir, les données volées ont permis de repérer des détenteurs d’armes pour des cambriolages ciblés. Avec Pierre & Vacances, Belambra et Gîtes de France, les cambrioleurs disposent désormais des adresses précises des vacanciers et de leurs dates exactes d’absence. Ils n’auront même plus besoin de repérer les maisons cet été. Le scénario est identique, mais l’échelle est incomparablement plus grande : cinq millions de personnes exposées, contre 300 000 pour la FFTir.
Ce que les cambrioleurs savent désormais sur vous
Les données exposées dans ces trois fuites correspondent exactement au profil exploité par les opérateurs de phishing, smishing et vishing. Voici ce qui circule sur le dark web :
Noms et prénoms associés à des adresses postales complètes. Le cambrioleur connaît votre identité et sait où vous habitez.
Dates exactes de départ et de retour. Il sait quand votre maison sera vide, et pour combien de temps.
Numéros de téléphone. Il peut vous contacter en se faisant passer pour le gérant de votre résidence, en citant les détails exacts de votre séjour pour gagner votre confiance.
Composition familiale, y compris le nombre et l’âge des enfants. Un fraudeur peut mentionner les prénoms de vos enfants pour paraître légitime lors d’un appel d’arnaque.
Commentaires de séjour. Ces détails offrent à un attaquant le prétexte exact d’une fausse indemnisation envoyée des années plus tard, avec des détails impossibles à inventer.
Aucune donnée bancaire ni mot de passe n’a été directement exfiltré, selon les groupes concernés. Mais comme l’explique David Soria, expert en cybersécurité interrogé par RMC : « Un fraudeur peut vous appeler, citer le nom exact du cottage réservé aux Bois-Francs en juillet 2022, mentionner les prénoms des enfants présents lors du séjour et exiger une régularisation sur un faux portail. Plus il donne de détails dans la conversation, plus la victime baisse sa garde. »
Les arnaques à surveiller cet été
Les experts en cybersécurité appellent à la plus grande vigilance, surtout si vous avez réservé un séjour chez l’une de ces entreprises. Voici les scénarios les plus probables :
Arnaque téléphonique
Le faux appel de la réception
Quelques jours avant votre départ, vous recevez un appel
L’interlocuteur connaît vos dates et le montant payé
Il vous demande de dicter votre carte bancaire pour la caution
En réalité, le pirate effectue des achats en direct avec votre carte
Faux e-mail officiel
La mise à jour du dossier
E-mail à l’apparence officielle demandant une pièce d’identité et un RIB
Prétexte : prélèvement de la taxe de séjour
Vous fournissez le kit complet pour une usurpation d’identité
Ouverture de comptes, crédits à la consommation en votre nom
Le numéro de téléphone volé alimente aussi les campagnes de SIM swapping, une fraude qui consiste à faire basculer votre ligne mobile sur une carte SIM contrôlée par l’attaquant, généralement pour intercepter les codes d’authentification bancaire envoyés par SMS. Et le couple nom complet plus date de naissance valide encore les questions de sécurité de plusieurs organismes publics.
Ce que vous devez faire maintenant
Si vous avez réservé un séjour chez Pierre & Vacances, Belambra ou Gîtes de France :
Ne communiquez jamais vos coordonnées bancaires par téléphone ou par e-mail, même si votre interlocuteur connaît les détails de vos vacances. Aucun interlocuteur légitime ne vous demandera ces informations de cette manière.
Méfiez-vous des offres de remboursement ou d’indemnisation suite à la cyberattaque. Les pirates envoient souvent de faux e-mails proposant un « remboursement suite à la cyberattaque ». Vérifiez toujours l’adresse de l’expéditeur et ne cliquez sur aucun lien.
Ne transmettez pas de documents à la légère. Si l’on vous demande une copie de votre carte d’identité, utilisez une plateforme sécurisée comme DossierFacile et vérifiez toujours l’identité du destinataire.
Surveillez vos comptes bancaires et signalez toute opération suspecte. En cas de doute, contactez votre banque via ses canaux officiels (application, numéro au dos de votre carte).
Ne publiez pas vos dates de vacances sur les réseaux sociaux. Combinées aux données déjà exposées, ces informations aggravent le risque de cambriolage ciblé.
Ces trois fuites s’inscrivent dans une série sans précédent. Depuis janvier 2025, des centaines d’organismes ont été touchés en France : ANTS (12 millions de comptes), France Travail, Police nationale, Caisse d’allocations familiales, Éducation nationale, Armée de terre, Direction générale des finances publiques, ministère de l’Intérieur, une dizaine d’universités, des dizaines d’hôpitaux, le CNRS, Free, SFR, Bouygues Telecom, Cultura, Boulanger, Orpi, Relais Colis, Mondial Relay, Darty, Auchan, les fédérations nationales d’une trentaine de sports, et même les Restos du Cœur.
Le Premier ministre Sébastien Lecornu a dénoncé un « casse du siècle qui a pratiquement lieu tous les mois » et annoncé 200 millions d’euros d’investissement en cybersécurité. Mais les experts restent sceptiques. « En termes d’exposition, de surface d’attaque, nous sommes au 18e rang au sein de l’OCDE et au 22e sur le continent européen », estime Thomas Gayet, PDG de la plateforme d’audit en cybersécurité Scovery.
La transposition française de la directive européenne NIS 2, qui doit renforcer les obligations de cybersécurité d’environ 15 000 entreprises supplémentaires, prend du retard. Et le profil des hackers ne fait qu’inquiéter davantage : les attaquants identifiés sont plutôt des hommes, souvent jeunes, de 13 à 23 ans, avec un âge moyen de 17 ans pour les mineurs. Le hacker de l’ANTS avait 15 ans. Celui de la FFTir avait 18 ans. Celui qui a piraté une dizaine de fédérations sportives avait 21 ans.
Comme le résume le rapport du Sirasco : « Le piratage devient la porte d’entrée. Un ado qui vole une base de données dans sa chambre dévoile sans forcément le savoir la matière première à des réseaux de délinquance bien plus structurés. »
❓ FAQ : Fuite de données tourisme, ce qu’il faut savoir
Mes données bancaires sont-elles compromises ?▼
Non, selon les trois groupes concernés, aucune donnée bancaire (numéro de carte, CVV) ni mot de passe n’a été exfiltré. Mais les données volées (nom, adresse, téléphone, dates de séjour) sont suffisantes pour mener des campagnes de phishing très crédibles et tenter de vous extorquer vos coordonnées bancaires par téléphone ou e-mail.
Comment savoir si je suis concerné ?▼
Les trois groupes ont indiqué qu’ils allaient informer leurs clients individuellement, comme l’exige le RGPD. Si vous avez réservé chez Pierre & Vacances (ou Maeva, Center Parcs), Belambra ou Gîtes de France, vous devriez recevoir une notification. Restez attentif à vos e-mails et à vos spams.
Qu’est-ce qu’une faille IDOR ?▼
IDOR signifie « Insecure Direct Object Reference ». C’est une faille de contrôle d’accès : un utilisateur authentifié modifie un identifiant dans une URL (par exemple un numéro de réservation) et récupère les données d’autres utilisateurs sans que le serveur ne vérifie ses droits. Cette faille est classée n°1 du top OWASP API Security depuis 2019. La même faille a été exploitée contre l’ANTS en avril 2026.
Y a-t-il un risque de cambriolage ?▼
Oui, c’est le risque le plus concret. Les données volées incluent votre adresse et vos dates exactes de séjour. Les cambrioleurs savent donc quand votre maison sera vide. Le précédent de la Fédération Française de Tir a déjà entraîné 20 à 30 cambriolages ciblés. Avec cinq millions de personnes exposées, l’échelle est incomparablement plus grande.
Nous utilisons des cookies pour vous offrir la meilleure expérience possible sur notre site et pour soutenir le travail de notre équipe. En acceptant les cookies, vous nous aidez à continuer à créer du contenu de qualité qui vous est utile. L’utilisation de ces cookies n’entraîne aucun coût supplémentaire pour vous. C’est une simple action de votre part, mais qui a un grand impact pour nous tous. Vous pouvez changer d'avis ou retirer votre consentement à tout moment via la Politique de confidentialité. Merci pour votre soutien et votre confiance.
Fonctionnel
Toujours activé
L’accès ou le stockage technique est strictement nécessaire dans la finalité d’intérêt légitime de permettre l’utilisation d’un service spécifique explicitement demandé par l’abonné ou l’utilisateur, ou dans le seul but d’effectuer la transmission d’une communication sur un réseau de communications électroniques.
Préférences
L’accès ou le stockage technique est nécessaire dans la finalité d’intérêt légitime de stocker des préférences qui ne sont pas demandées par l’abonné ou l’internaute.
Statistiques
Le stockage ou l’accès technique qui est utilisé exclusivement à des fins statistiques.Le stockage ou l’accès technique qui est utilisé exclusivement dans des finalités statistiques anonymes. En l’absence d’une assignation à comparaître, d’une conformité volontaire de la part de votre fournisseur d’accès à internet ou d’enregistrements supplémentaires provenant d’une tierce partie, les informations stockées ou extraites à cette seule fin ne peuvent généralement pas être utilisées pour vous identifier.
Marketing
L’accès ou le stockage technique est nécessaire pour créer des profils d’internautes afin d’envoyer des publicités, ou pour suivre l’utilisateur sur un site web ou sur plusieurs sites web ayant des finalités marketing similaires.
