Illustration d'un hacker masqué devant trois logos de marques de tourisme français, avec des flux de données personelles s'échappant vers le dark web.
Illustration d'un hacker masqué devant trois logos de marques de tourisme français, avec des flux de données personelles s'échappant vers le dark web.

La faille IDOR touche plusieurs acteurs clés du tourisme, un point d'entrée fragile pour un collègue en cybersécurité ou un ami voyageur régulier.

5 millions de données clients volées Fil de l’histoire et faits clés

Trois grandes entreprises du tourisme français — Pierre et Vacances-Center Parcs, Belambra et Gîtes de France — ont été victimes de cyberattaques en l’espace d’un seul week-end en mai 2026. Ces intrusions ont compromis les données personnelles de plus de 5 millions de clients, exposées sur le dark web par un même pirate nommé ChimeraZ. Les informations volées incluent noms, coordonnées, dates et lieux de séjour, mais pas de données bancaires selon les entreprises. L’attaque a exploité une faille technique connue sous le nom d’IDOR (Insecure Direct Object Reference), permettant à un pirate d’accéder à des profils clients en modifiant simplement des paramètres dans l’URL.

Chez Pierre et Vacances-Center Parcs, la fuite concerne 1,6 million de réservations gérées par la filiale La France du Nord au Sud. Belambra a confirmé un accès frauduleux à des dossiers de réservation, avec environ 41 000 réservations compromises selon le pirate. Gîtes de France, quant à lui, a vu ses systèmes affectés via un prestataire informatique, ITEA, avec des données remontant jusqu’en 1995. Le chercheur de ESET France Benoit Grunemwald souligne que ces données permettent des campagnes de phishing très ciblées et des usurpations d’identité.

L’État français a annoncé un plan d’urgence de 200 millions d’euros pour renforcer la cybersécurité des systèmes publics, tandis que des interpellations ont eu lieu parmi les individus impliqués dans ces attaques. L’affaire soulève des questions sur la durée de conservation des données, car certaines remontent à près de trente ans, en infraction potentielle avec le RGPD.

Faits

  • Trois cyberattaques ont touché Pierre et Vacances-Center Parcs, Belambra et Gîtes de France en mai 2026.
  • Plus de 5 millions de données clients ont été volées, selon les revendications du pirate ChimeraZ.
  • La faille exploitée est une IDOR, permettant d’accéder à des profils via des URL modifiées.
  • Aucune donnée bancaire n’a été compromise selon les entreprises, mais les noms, coordonnées et dates de séjour ont été exposés.
  • Les données volées remontent jusqu’en 1995 chez Gîtes de France, en infraction potentielle avec le RGPD.
  • Le gouvernement français a lancé un plan d’urgence de 200 millions d’euros pour renforcer la cybersécurité.

Explication visuelle de l’actualité par Canto. Des outils d’IA peuvent aider à la production. Politique éditoriale