Les données personnelles volées chez Eurail sont désormais à vendre. Passeports, IBAN, informations de santé : un mois après la brèche, les cybercriminels passent à la caisse.
Eurail avait promis la surveillance. Un mois plus tard, la réalité rattrape les déclarations rassurantes. L'opérateur néerlandais de passes ferroviaires Interrail et Eurail confirme que les informations dérobées en janvier circulent bel et bien sur le dark web. Un échantillon a même été publié sur Telegram, preuve tangible que la fuite est bien réelle. Pour contextualiser : Eurail gère l'accès à 250 000 kilomètres de voies ferrées européennes et ses passes sont particulièrement prisés des jeunes voyageurs du programme DiscoverEU financé par l'Union européenne.
L'ampleur d'une brèche qui dépasse le simple fichier client
La liste des données compromises ressemble à un cauchemar pour n'importe quel responsable de la protection des données. Noms complets, numéros de passeport avec pays d'émission et dates d'expiration, numéros d'identification nationaux, coordonnées IBAN de comptes bancaires, informations médicales et données de contact complètes (adresses mail, numéros de téléphone). L'intrusion initiale remonte à janvier 2026, lorsque des acteurs malveillants ont accédé sans autorisation à la base de données clients de l'entreprise basée à Utrecht.
À l'époque, Eurail affirmait dans sa communication qu'il n'existait « aucune preuve que les données avaient été divulguées publiquement ». Les spécialistes en cybersécurité externes engagés par l'entreprise étaient censés surveiller toute exploitation potentielle. Un mois plus tard, le scénario redouté se matérialise : les données sont non seulement divulguées, mais mises en vente. L'entreprise reconnaît qu'elle tente encore de déterminer précisément quels types d'enregistrements sont concernés et combien de clients sont touchés. Les autorités de protection des données ont été notifiées conformément au RGPD, et les notifications individuelles aux victimes sont en cours.
Quand les promesses de sécurité se heurtent à la réalité du marché noir
Le passage de « pas de preuve de divulgation » à « en vente sur le dark web » en quatre semaines illustre parfaitement le décalage entre communication de crise et réalité terrain. Cette séquence rappelle un schéma classique : minimiser d'abord, reconnaître ensuite quand la preuve devient incontournable. Les cybercriminels, eux, ne perdent pas de temps. Publier un échantillon sur Telegram sert de vitrine commerciale pour attirer les acheteurs potentiels sur les marchés clandestins.
Le timing complique encore la donne pour les victimes du programme DiscoverEU. Ces jeunes Européens, souvent primo-voyageurs, disposent rarement de l'expérience nécessaire pour repérer les tentatives d'hameçonnage sophistiquées que permettent des données aussi complètes. La Commission européenne, qui finance ce programme via Erasmus+, a dû intervenir directement pour informer les participants. Eurail recommande désormais de changer les mots de passe de l'application Rail Planner et de surveiller les comptes bancaires. Des conseils utiles, mais qui arrivent après que les chevaux ont quitté l'écurie.
Source : Bleeping Computer
