Les vacances ne sont pas loin, mais les hackers n’en prennent jamais. Le groupe Pierre & Vacances-Center Parcs, l’un des plus gros acteurs européens de la location saisonnière, a confirmé cette semaine avoir été victime d’un « incident de sécurité » d’ampleur, après une revendication publiée le 15 mai sur un forum cybercriminel par un pirate connu sous le pseudo de ChimeraZ.
Selon les informations recueillies par Le Parisien, ce sont environ 4,5 millions de clients actuels et anciens qui sont concernés, pour un total de 1,6 million de réservations exposées. Le hacker, lui, revendique près d’un Go de données au format JSON, et près de 38 945 résidences et hébergements touristiques. Les marques officiellement listées par le groupe incluent Pierre & Vacances, Center Parcs, Maeva Club et Maeva Home, mais la revendication évoque également des partenaires comme Adagio City, Ushuaïa Villages, Belambra, Sunparks, Odalys, Lagrange Vacances, Flower Campings, Sandaya et Goelia. Plus inquiétant encore : selon les échantillons consultés par Le Parisien, l’historique compromis pourrait remonter à plus de vingt ans pour certains profils. De quoi reconstituer, pour chaque victime, une carte assez précise de deux décennies de vacances familiales.
Le groupe coté en bourse a réagi en déposant vendredi matin une plainte contre X, et en adressant une notification à la CNIL, conformément aux obligations du RGPD en vigueur. Pierre & Vacances est désormais tenu d’informer individuellement chaque personne concernée sur les risques de tentatives d’arnaques liées à l’exploitation de ces données personnelles. Un mail d’avertissement devrait, en théorie, arriver très vite dans votre boîte mail. Le problème, c’est que les escrocs auront sans doute eu l’idée d’envoyer leur propre message d’avertissement avant.
Pas de cartes bancaires, mais tout pour bricoler une arnaque sur mesure
Le groupe insiste : « aucune donnée bancaire ni adresse e-mail n’ont pu être collectées ». Sauf que la liste de ce qui a effectivement fuité dresse un tableau préoccupant. On y trouve les numéros de dossier de réservation, les logements concernés, les dates exactes de séjour, les noms et dates de naissance des occupants, les numéros de téléphone, leur historique complet de séjours, et même leurs commentaires. Pour qui voudrait monter une opération de phishing par SMS, sur la base d’une réservation existante, c’est une mine d’or.
Le problème de ce type de fuite, c’est précisément qu’il rend les tentatives d’arnaques plus convaincantes que les mails de phishing classiques. D’autant plus que cette nouvelle vient s’ajouter à une liste déjà longue de compromissions massives qui ont touché le secteur du tourisme et des plateformes de réservation ces dernières années. A quelques semaines des grandes vacances, des millions de Français vont devoir apprendre à se méfier.
🟣 Pour ne manquer aucune news sur le Journal du Geek, suivez-nous sur Google et sur notre canal WhatsApp. Et si vous nous adorez, on a une newsletter tous les matins.
