Pierre & Vacances-Center Parcs, Belambra et maintenant Gîtes de France : en l'espace de quelques jours, plusieurs grands noms du tourisme français ont été touchés par de grosses fuites de données. 5 millions de Français sont potentiellement concernés.

Le groupe Pierre & Vacances-Center Parcs, ici Villages Nature Paris, fait partie des victimes indirectes. © Alexandre Boero / Clubic
Le groupe Pierre & Vacances-Center Parcs, ici Villages Nature Paris, fait partie des victimes indirectes. © Alexandre Boero / Clubic

À quelques semaines des grandes vacances, la météo cyber n'est clairement pas bonne dans le ciel touristique français. Comme l'explique le blog spécialisé FrenchBreaches, des hackers ont réussi à s'introduire dans les systèmes informatiques de plusieurs grandes plateformes de réservation pour y dérober des millions d'informations personnelles avec des noms, adresses, dates de séjour, voire des données concernant des enfants. Maeva et Belambra ont officiellement reconnu avoir été victimes d'un incident de sécurité ; tout comme Gîtes de France, qui a confirmé dans la nuit de dimanche à lundi dans un communiqué.

Trois enseignes françaises du tourisme frappées en quelques jours par des fuites de données massives

C'est le groupe Maeva qui porte le bilan le plus lourd des acteurs français du tourisme frappés, avec plus de 4,5 millions de clients potentiellement touchés. Un hacker affirme avoir eu accès à ses serveurs pendant plusieurs semaines sans être détecté, le temps de récupérer des données appartenant aussi à des plateformes partenaires, filiales ou franchises comme Pierre & Vacances, Center Parcs ou Campings Paradis. Le groupe a reconnu l'incident, indiquant que la faille proviendrait de sa filiale « La France du Nord au Sud ».

Belambra (groupe Caravelle) est également touchée. Plus de 402 000 personnes seraient concernées par cette fuite, mais un chiffre en particulier retient l'attention. Environ 360 000 données exposées concerneraient des mineurs. L'enseigne a confirmé à l'AFP qu'un accès non autorisé à une partie de ses systèmes avait bien eu lieu, tout en assurant qu'aucun mots de passe ni coordonnées bancaires ne figureraient parmi les informations compromises.

Le dernier acteur visé n'est autre que Gîtes de France. Quelque 389 000 personnes seraient concernées par la fuite, qui couvrirait des réservations remontant jusqu'à 1995, soit plus de trente ans d'historique d'un coup. Le réseau d'hébergement a confirmé le vol de données, dimanche, tout en précisant qu'aucune donnée bancaire n'a pu être collectée. C'est son prestataire informatique Itea qui serait à l'origine de la faille. Ce dernier fournit ses logiciels aux centrales de réservation départementales de Gîtes de France, ce qui limite la compromission à quelques départements « seulement ».

© Andrew Harker/ Shutterstock
© Andrew Harker/ Shutterstock

Des vacanciers exposés bien au-delà du simple vol de données personnelles

On pourrait presque ne plus s'affoler face à tant de vols de données, dont certaines doivent déjà être en double, en triple voire plus, sur les forums cybercriminels. Sauf qu'ici, nous parlons d'acteurs du tourisme, avec des dates de séjour, des informations relativement nouvelles, pour peu qu'elles soient récentes. Un cybercriminel qui connaît le nom d'un vacancier, son hébergement et ses dates de séjour peut lui envoyer un faux e-mail de confirmation, un SMS usurpant l'identité de son camping ou une demande de paiement frauduleuse, pour le piéger et l'arnaquer. Les bases dérobées ici seraient extrêmement fournies. Mais il y a pire, comme risque !

L'autre risque est physique. Croisées, des données comme les dates de départ, dates de retour, adresses personnelles et composition du foyer pourraient aider à identifier un logement vide pendant l'été. Si aucun lien direct avec des cambriolages n'est établi à ce stade, plusieurs spécialistes alertent depuis des années sur la valeur marchande de ce type de données dans les circuits criminels.

Sur le plan technique, les analyses pointent vers des failles dites IDOR, un type de vulnérabilité qui permet à une personne connectée sur un site d'accéder aux données d'autres utilisateurs, simplement en modifiant un chiffre ou une lettre dans l'adresse de la page. Le plus étonnant, c'est qu'il ne faut pas être un génie de l'informatique pour cela, puisqu'il suffit d'exploiter une erreur de conception du site pour aspirer massivement des données qui ne vous appartiennent pas. Une faille simple, donc, mais aux conséquences potentiellement considérables.