Le groupe Pierre & Vacances-Center Parcs a confirmé une fuite de données touchant 4,5 millions de clients. Un pirate revendique 1,6 million de réservations siphonnées sur la plateforme La France du Nord au Sud. Le groupe a déposé plainte et alerté la CNIL le 15 mai 2026.

Selon le groupe, 1,6 million de réservations ont été exposées, ainsi qu'un historique pouvant remonter à dix ans - ©Andrew Harker/ Shutterstock
Selon le groupe, 1,6 million de réservations ont été exposées, ainsi qu'un historique pouvant remonter à dix ans - ©Andrew Harker/ Shutterstock

Le hacker ChimeraZ a revendiqué hier sur un forum cybercriminel le vol d'une base de données de 900 Mo au format JSON, attribuée à la plateforme de réservation La France du Nord au Sud, filiale de Maeva & Co. Pierre & Vacances-Center Parcs a confirmé l'incident le même jour et déposé plainte contre X.

Selon le groupe, 1,6 million de réservations ont été exposées, ainsi qu'un historique pouvant remonter à dix ans, alors que le pirate revendique 4 575 065 profils clients, 38 945 hébergements et des données qui remonteraient jusqu'à 2005.

Aucune donnée bancaire ni adresse e-mail n'ont en revanche fuité, mais les noms, prénoms, dates de naissance, numéros de téléphone, dates et lieux de séjour, ainsi que les commentaires laissés par les vacanciers ont été aspirés.

Une faille IDOR exploitée trois semaines avant d'être bloquée

Pierre & Vacances a identifié une vulnérabilité de type IDOR à l'origine de l'incident, comme celle à l'origine de l'attaque contre l'ANTS en avril dernier. Le sigle désigne une Insecure Direct Object Reference, une faille de contrôle d'accès dans laquelle un utilisateur authentifié modifie un identifiant fourni par l'application, par exemple un numéro de réservation dans une URL, et récupère l'objet correspondant sans que le serveur vérifie ses droits. Un attaquant automatise alors la requête, boucle sur les identifiants successifs et siphonne l'intégralité d'une base. Cette catégorie de faille occupe la première place du classement OWASP API Security depuis 2019, sous le nom de Broken Object Level Authorization.

Le pirate affirme avoir aspiré la base pendant trois semaines sans être détecté, puis avoir prévenu lui-même Maeva. Il aurait conservé l'accès trois jours supplémentaires avant blocage. Pourtant, un scraping de cette ampleur génère côté serveur un volume de requêtes anormalement élevé sous un même jeton d'authentification, et donc une signature détectable par des outils de supervision API standards. L'article 33 du RGPD impose une notification à la CNIL dans les 72 heures suivant la prise de connaissance. Le groupe a respecté ce délai puisqu'il a été informé le 14 mai et a notifié l'autorité dès le 15.

Le pirate affirme avoir aspiré la base pendant trois semaines sans être détecté, puis avoir prévenu lui-même Maeva - Capture d'écran ©French Breaches / Clubic
Le pirate affirme avoir aspiré la base pendant trois semaines sans être détecté, puis avoir prévenu lui-même Maeva - Capture d'écran ©French Breaches / Clubic

Nom, date de naissance, téléphone, séjours : le kit du phishing ciblé

L'absence de coordonnées bancaires dans le lot exfiltré pourrait rassurer les clients concernés à tort, car les données exposées correspondent au profil exploité par les opérateurs de smishing et de vishing. Un fraudeur peut appeler une victime, citer le nom exact du cottage réservé aux Bois-Francs en juillet 2022, mentionner les prénoms des enfants présents lors du séjour et exiger une « régularisation » sur un faux portail. Plus il donne des détails dans la conversation, plus la victime baisse sa garde.

Le numéro de téléphone alimente aussi les campagnes de SIM swapping, une fraude qui consiste à faire basculer la ligne mobile d'une victime sur une carte SIM contrôlée par l'attaquant, généralement pour intercepter les codes d'authentification bancaire envoyés par SMS.

Quant au couple nom complet plus date de naissance, il valide encore les questions de sécurité de plusieurs organismes publics et fournisseurs. Sans oublier les commentaires de séjour qui offre à un attaquant le prétexte exact d'une fausse indemnisation envoyée cinq ans plus tard suite à une plainte, avec des détails impossibles à inventer.

Vingt ans d'historique alors que la CNIL recommande trois ans

Les données siphonnées remontent à 2005, selon le pirate. Le groupe, plus prudent, évoque un historique de dix ans. Mais la CNIL recommande pour les fichiers clients du tourisme une conservation en base active limitée à la durée de la relation commerciale, prolongée de trois ans à des fins de prospection.

Les obligations comptables et fiscales justifient ensuite un archivage intermédiaire, mais sous accès restreint et non sur la base de production accessible via l'API publique. Vingt ans de réservations consultables par un identifiant trivial, c'est bien plus que ce cadre.

PVCP est coté à l'Euronext sous le ticker VAC. Le groupe exploite plus de 300 sites en Europe et a clôturé son exercice 2024-2025 à 1 946 millions d'euros de chiffre d'affaires. Les enseignes citées dans la revendication ne sont pas les seules concernées officiellement. Le pirate mentionne aussi Adagio, Sunparks, Belambra, Goélia, Lagrange Vacances, Flower Campings, Sandaya et Odalys.

Là encore, c'est la parole de l'un contre celle de l'autre. Pierre & Vacances maintient que seule la filiale La France du Nord au Sud a été affectée.

Les clients concernés doivent désormais recevoir une notification individuelle, comme l'exige le RGPD pour ce niveau d'exposition.

Source : Le Parisien

À découvrir
Meilleur antivirus : le comparatif en 2026
Comparatifs services