Plus de 5 millions de Français concernés par des cyberattaques visant Belambra, Maeva et Gites de France - Depoitphotos
Nous le savons, le tourisme, de par ses volumes et son activité grand public, constitue une cible privilégiée des pirates informatiques.
Le week-end dernier, nous venons peut-être d’assister à ce qui pourrait être la plus importante fuite de données du secteur en France. Ce ne sont pas une, ni deux, mais bien trois entreprises du tourisme qui ont connu une cyberattaque d’ampleur, revendiquée par la même personne.
Tout a d’abord commencé avec le groupe Pierre & Vacances, en l’occurrence sa filiale Maeva.
Vendredi 15 mai 2026, un hacker a revendiqué avoir piraté La France du Nord au Sud, une filiale de l’OTA.
Il serait resté dans les systèmes durant deux semaines, le temps d’exfiltrer une quantité extrêmement importante de données.
Celui qui se fait appeler Chimeraz, retenez bien ce nom, puisqu’il revient dans chacune des cyberattaques, revendique avoir obtenu les données de 4 575 065 clients, selon le site French Breaches, ainsi que plus de 1,6 million de réservations réparties sur 20 ans, entre 2005 et 2026.
Le week-end dernier, nous venons peut-être d’assister à ce qui pourrait être la plus importante fuite de données du secteur en France. Ce ne sont pas une, ni deux, mais bien trois entreprises du tourisme qui ont connu une cyberattaque d’ampleur, revendiquée par la même personne.
Tout a d’abord commencé avec le groupe Pierre & Vacances, en l’occurrence sa filiale Maeva.
Vendredi 15 mai 2026, un hacker a revendiqué avoir piraté La France du Nord au Sud, une filiale de l’OTA.
Il serait resté dans les systèmes durant deux semaines, le temps d’exfiltrer une quantité extrêmement importante de données.
Celui qui se fait appeler Chimeraz, retenez bien ce nom, puisqu’il revient dans chacune des cyberattaques, revendique avoir obtenu les données de 4 575 065 clients, selon le site French Breaches, ainsi que plus de 1,6 million de réservations réparties sur 20 ans, entre 2005 et 2026.
Cyberattaque Maeva : crainte de campagnes de phishing et de cambriolages
Il aurait aspiré l’ensemble des bases liées à des plateformes et partenaires de Maeva.
L’agence de voyages en ligne a reconnu, le 14 mai 2026, un problème de sécurité. La faille aurait depuis été identifiée et corrigée.
Les données subtilisées concernent les noms et prénoms des clients, leurs numéros de téléphone, leurs dates de naissance, leurs numéros de réservation, ainsi que les dates et lieux de séjour.
Le pirate n’aurait pas pu accéder aux données bancaires, mais aurait eu suffisamment de temps pour trier les données, notamment celles concernant les enfants. Les informations seraient désormais en libre accès sur le dark web.
D’après Leto, un site spécialisé dans le RGPD, ce cas soulève plusieurs interrogations.
Tout d’abord, le règlement impose que "les données ne peuvent être gardées sous forme identifiante que le temps nécessaire à la finalité", soit entre trois et cinq ans pour une réservation.
Ainsi, en conservant des données sur près de 20 ans, la filiale du groupe Pierre & Vacances aurait transformé cette faille en trou béant pour les données de ses clients.
De plus, le spécialiste affirme que la communication du groupe au nom de la société "La France du Nord au Sud", une filiale de Maeva, brouille les responsabilités et complique les recours des victimes.
Ce n’est pas tout, car ce lot de données subtilisées pourrait permettre de nouvelles attaques de phishing ultra ciblées, comme nous en connaissons tous ces dernières semaines, avec même des campagnes pouvant utiliser les dates des vacances pour gagner en réalisme.
L’agence de voyages en ligne a reconnu, le 14 mai 2026, un problème de sécurité. La faille aurait depuis été identifiée et corrigée.
Les données subtilisées concernent les noms et prénoms des clients, leurs numéros de téléphone, leurs dates de naissance, leurs numéros de réservation, ainsi que les dates et lieux de séjour.
Le pirate n’aurait pas pu accéder aux données bancaires, mais aurait eu suffisamment de temps pour trier les données, notamment celles concernant les enfants. Les informations seraient désormais en libre accès sur le dark web.
D’après Leto, un site spécialisé dans le RGPD, ce cas soulève plusieurs interrogations.
Tout d’abord, le règlement impose que "les données ne peuvent être gardées sous forme identifiante que le temps nécessaire à la finalité", soit entre trois et cinq ans pour une réservation.
Ainsi, en conservant des données sur près de 20 ans, la filiale du groupe Pierre & Vacances aurait transformé cette faille en trou béant pour les données de ses clients.
De plus, le spécialiste affirme que la communication du groupe au nom de la société "La France du Nord au Sud", une filiale de Maeva, brouille les responsabilités et complique les recours des victimes.
Ce n’est pas tout, car ce lot de données subtilisées pourrait permettre de nouvelles attaques de phishing ultra ciblées, comme nous en connaissons tous ces dernières semaines, avec même des campagnes pouvant utiliser les dates des vacances pour gagner en réalisme.
Belambra : l’ombre du pirate Chimeraz...
Autres articles
-
Belambra accélère ses investissements et enrichit son offre pour l’été 2026
-
Rebranding, nouvelle structuration : maeva devient maeva&co
-
Cdiscount Voyages s’allie à maeva pour accélérer sur le tourisme domestique
-
Gîtes de France : plus de 28 millions de nuitées enregistrées en 2025
-
Belambra recrute 1 500 collaborateurs pour l’été 2026
Il pourrait aussi être à craindre des vagues de cambriolages, en raison des informations désormais en libre accès.
La faille utilisée par le pirate serait une vulnérabilité de type IDOR (Insecure Direct Object Reference). C’est-à-dire qu’une personne extérieure peut, à cause de cette faille, accéder à des fichiers simplement en modifiant des paramètres d’URL.
Toujours selon French Breaches, c’est par cette méthode que le pirate aurait "pu modifier les numéros de dossiers associés aux réservations afin d’accéder progressivement à un grand volume de données liées aux séjours et réservations enregistrés sur plusieurs plateformes du groupe".
L’automatisation de l’attaque aurait ainsi permis de récupérer 900 Mo de données.
Et le pirate semblait particulièrement intéressé par le tourisme, puisqu’il a réédité ses attaques contre d’autres acteurs du secteur. Le 16 mai 2026, c’est au tour de Belambra d’avoir connu pareille mésaventure.
Le volume est cette fois moindre, mais tout de même plus de 400 000 dossiers de réservations et de clients auraient été exposés depuis la base de données du spécialiste des clubs de vacances.
La cyberattaque a, là encore, été revendiquée par Chimeraz.
Parmi les données subtilisées, nous retrouvons : des dossiers de réservation, les noms des clients et leurs e-mails de contact, les dates d’arrivée et de départ, des champs indiquant le nombre d’adultes et d’enfants, des informations liées aux séjours, ainsi que des données associées à des mineurs...
La faille utilisée par le pirate serait une vulnérabilité de type IDOR (Insecure Direct Object Reference). C’est-à-dire qu’une personne extérieure peut, à cause de cette faille, accéder à des fichiers simplement en modifiant des paramètres d’URL.
Toujours selon French Breaches, c’est par cette méthode que le pirate aurait "pu modifier les numéros de dossiers associés aux réservations afin d’accéder progressivement à un grand volume de données liées aux séjours et réservations enregistrés sur plusieurs plateformes du groupe".
L’automatisation de l’attaque aurait ainsi permis de récupérer 900 Mo de données.
Et le pirate semblait particulièrement intéressé par le tourisme, puisqu’il a réédité ses attaques contre d’autres acteurs du secteur. Le 16 mai 2026, c’est au tour de Belambra d’avoir connu pareille mésaventure.
Le volume est cette fois moindre, mais tout de même plus de 400 000 dossiers de réservations et de clients auraient été exposés depuis la base de données du spécialiste des clubs de vacances.
La cyberattaque a, là encore, été revendiquée par Chimeraz.
Parmi les données subtilisées, nous retrouvons : des dossiers de réservation, les noms des clients et leurs e-mails de contact, les dates d’arrivée et de départ, des champs indiquant le nombre d’adultes et d’enfants, des informations liées aux séjours, ainsi que des données associées à des mineurs...
...plane aussi au-dessus de Gîtes de France
Le groupe français a lui aussi reconnu les faits.
Comme pour Pierre & Vacances, aucune donnée bancaire n’aurait été subtilisée, ni aucun document d’identité, ni aucun mot de passe.
Et comme jamais deux sans trois, dimanche soir, ce fut au tour de Gîtes de France de connaître le même sort.
Le pirate est le même, à savoir Chimeraz, qui revendique cette fois avoir siphonné 389 000 dossiers clients, comprenant autant de noms, prénoms, adresses e-mail et informations de réservation...
La méthode utilisée serait, là aussi, la même.
En l’espace d’un week-end, ce sont pas moins de 5,3 millions de foyers français qui ont vu leurs données personnelles exposées.
Ce cyberpirate, actif depuis seulement quelques jours ou quelques semaines, a réussi à semer la pagaille dans l’industrie touristique, et au-delà.
Il revendique plusieurs dizaines de prises, dont certaines auprès de Thales Group, La Boîte Immo, l’Union Professionnelle des Associations, EFC Formation ou encore le Collège de France... Son mode opératoire serait toujours le même.
Comme pour Pierre & Vacances, aucune donnée bancaire n’aurait été subtilisée, ni aucun document d’identité, ni aucun mot de passe.
Et comme jamais deux sans trois, dimanche soir, ce fut au tour de Gîtes de France de connaître le même sort.
Le pirate est le même, à savoir Chimeraz, qui revendique cette fois avoir siphonné 389 000 dossiers clients, comprenant autant de noms, prénoms, adresses e-mail et informations de réservation...
La méthode utilisée serait, là aussi, la même.
En l’espace d’un week-end, ce sont pas moins de 5,3 millions de foyers français qui ont vu leurs données personnelles exposées.
Ce cyberpirate, actif depuis seulement quelques jours ou quelques semaines, a réussi à semer la pagaille dans l’industrie touristique, et au-delà.
Il revendique plusieurs dizaines de prises, dont certaines auprès de Thales Group, La Boîte Immo, l’Union Professionnelle des Associations, EFC Formation ou encore le Collège de France... Son mode opératoire serait toujours le même.
![Résidences secondaires : la « deuxième maison », gagnante annoncée de l’été [ABO]](https://www.tourmag.com/photo/art/large_16_9/96428639-67242289.jpg?v=1778086815 "Résidences secondaires : la « deuxième maison », gagnante annoncée de l’été [ABO]")
