Le secteur du tourisme est actuellement la cible d’une vague de cyberattaques en France. Au début du week-end, le groupe Pierre et Vacances-Center Parcs (PVCP) a annoncé avoir été victime d’un « incident de sécurité ayant conduit à l’exposition de certaines données personnelles avec un historique potentiel pouvant remonter à dix ans ». Selon le groupe, la cyberattaque ne concerne pas directement les marques Pierre et Vacances et Center Parcs, mais la filiale La France du Nord au Sud. Cette plateforme centralise les réservations de locations de vacances pour l’ensemble des marques du groupe : Maeva Club, Maeva Home, Pierre et Vacances et Center Parcs.
À lire aussi : Cyberattaques contre La France insoumise – les données de milliers d’adhérents compromises
1,6 million de réservations compromises
Les informations compromises incluent les numéros de réservation, les dates et lieux de séjour, les noms des occupants, leurs numéros de téléphone et leurs dates de naissance. Le groupe a tenu à rassurer en précisant qu’aucune donnée bancaire ni adresse e-mail n’ont pu être collectées au cours de l’intrusion. Par ailleurs, la faille a été rapidement identifiée et corrigée, « des mesures techniques et correctives ayant été immédiatement déployées afin de sécuriser les systèmes concernés et de prévenir tout nouvel incident ».
Le groupe indique que 1,6 million de réservations ont été compromises. Toutes les informations piratées ouvrent la porte à des attaques phishing, à des arnaques en tout genre, voire à des tentatives de cambriolage. Avec les données subtilisées, les criminels savent quels domiciles cibler et à quelles dates. Plus de 4,5 millions de clients sont concernés, si l’on en croit les revendications du cybercriminel sur le dark web. Pierre et Vacances-Center Parcs a déposé une plainte contre X et a notifié la CNIL (Commission nationale de l’informatique et des libertés), conformément aux obligations légales du RGPD. Notez que l’entreprise risque bien d’écoper d’une sanction. Certaines des données volées remontent à près de dix ans. Or, le RGPD stipule que les données personnelles ne soient jamais être conservées plus longtemps que nécessaire.
Selon les informations du Parisien, le hacker a exploité une faille de sécurité appelée IDOR (Insecure Direct Object Reference ou Référence directe non sécurisée à un objet) pour arriver à ses fins. Il s’agit d’une une erreur de conception du site qui permet à un utilisateur lambda d’accéder à des données en manipulant simplement des adresses web. Une fois connecté sur la plateforme de réservation comme n’importe quel client, il s’est donc glissé dans des zones réservées. Ensuite, il a déployé un logiciel qui aspire automatiquement toutes les informations affichées à l’écran. L’extraction d’information se serait déroulée sur plusieurs semaines. Pour rappel, c’est déjà une faille IDOR qui est à l’origine de la cyberattaque contre France Titres.
41 000 réservations Belambra compromises
Peu après, c’est le groupe Belambra qui s’est fendu d’un communiqué pour évoquer publiquement une cyberattaque. Contacté par l’AFP, le groupe français de clubs et d’hôtels de vacances indique avoir subi un « incident de sécurité » qui s’est soldé par un « accès frauduleux à une partie » de ses infrastructures numériques. Les attaquants sont parvenus à mettre la main sur « certaines des données relatives au dossier de réservation » des clients.
Belambra a toutefois précisé qu’aucune donnée bancaire, aucun document d’identité, ni aucun mot de passe n’a été compromis par les hackers. Alors qu’une plainte a été déposée, l’entreprise n’a pas pris la peine de révéler le nombre de personnes ou de réservations touchées. Sur le dark web, un pirate revendique cependant le vol d’informations concernant plus de 41 000 réservations, étalées sur une période de six mois, soit depuis novembre 2025. Parmi les données piratées, on trouverait 360 000 informations qui concernent des mineurs.
À lire aussi : Cyberattaques en France – les dernières fuites de données et entreprises touchées
30 ans de données volées à Gîtes de France
Enfin, la série noire s’est clôturée avec l’annonce de Gîtes de France, l’un des géants de l’hébergement touristique de l’Hexagone. Là encore, le groupe parle d’un « accès frauduleux à certaines données relatives aux dossiers de réservation », mais ne s’est pas étendu sur le nombre de victimes. Sur le forum criminel où il officie, le pirate à l’origine de la cyberattaque revendique le vol des informations de près de 400 000 personnes.
🔴 Gîtes de France confirme un incident de sécurité ayant entraîné un accès frauduleux à certaines données de réservation clients.
Le réseau indique que plusieurs départements utilisant le prestataire ITEA seraient concernés et annonce une notification des clients. https://t.co/mzIItuvfbB pic.twitter.com/Yvm8emoyhq
— FrenchBreaches (@Frenchbreaches) May 17, 2026
Parmi les informations exposées, on trouve les noms et prénoms des clients, leurs coordonnées (adresse e-mail, numéro de téléphone et adresse postale), ainsi que les détails de leurs séjours (dates et nombre de nuitées). Les données vont de 1995 à 2026. Il s’agirait donc d’une infraction au RGPD. Par contre, « aucune donnée bancaire n’a pu être collectée », souligne Gîtes de France.
La faille provenait du prestataire informatique Itea, dont les logiciels sont utilisés par certaines centrales de réservation départementales de Gîtes de France. Une plainte sera rapidement déposée devant les autorités compétentes. C’est une véritable hécatombe pour le secteur du tourisme en France. Comme le souligne le chercheur Clément Domingo, ce sont les données de cinq millions de Français qui se sont retrouvées entre les mains des cybercriminels en l’espace de quelques jours.
🚨🔴 Le secteur du tourisme se fait massivement pirater en France.
À date, 5.3M de données personnelles sont en circulation sur le darkweb…
— SaxX ¯\_(ツ)_/¯ (@_SaxX_) May 17, 2026
Un seul pirate à l’origine des attaques
Derrière cette vague d’intrusions, on trouve un seul cybercriminel : ChimeraZ. Actif depuis le mois dernier sur un forum criminel, le hacker n’a pas perdu de temps. Ces dernières semaines, il a revendiqué une longue liste de cyberattaques avec vols de données en France, dont celle de Nemea, un groupe français spécialisé dans l’immobilier.
Face à l’explosion des attaques informatiques, la France a fini par dégainer un plan de contre-attaque d’urgence, qui comprend un investissement immédiat de 200 millions d’euros pour sécuriser les systèmes d’État. En parallèle, la sénatrice centriste Nathalie Goulet a demandé la création d’une commission d’enquête pour mettre un terme à ce qu’elle appelle « France passoire ». Enfin, on rappellera que les autorités ont interpellé plusieurs des individus impliqués dans les attaques, dont un développeur de logiciels de piratage, un ado de 15 ans et un pirate de 21 ans.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
