Violation de données personnelles chez Pierre & Vacances-Center Parcs
Le groupe Pierre & Vacances-Center Parcs a confirmé une importante violation de données personnelles, affectant les informations de 4,5 millions de ses clients. L’incident, survenu le 16 mai 2026, a vu un pirate informatique, se présentant sous le nom de ChimeraZ, prétendre avoir dérobé une base de données JSON de 900 Mo appartenant à La France du Nord au Sud, une filiale de Maeva & Co.
Détails de la violation
Selon le pirate, les données compromises concerneraient 4 575 065 profils clients et 38 945 hébergements. Ces informations contiendraient des détails datant de 2005, bien que le groupe ait initialement évoqué une période de dix ans. Aucune information bancaire ni adresse e-mail n’auraient été volées. Cependant, les données dérobées incluent les noms, prénoms, dates de naissance, numéros de téléphone, dates et lieux de séjours, ainsi que des commentaires clients.
Le groupe a déposé plainte et a notifié la CNIL le 15 mai 2026, respectant ainsi le délai de 72 heures imposé par le RGPD.
Exploitation d’une vulnérabilité IDOR
La brèche a été rendue possible par une vulnérabilité de type « Insecure Direct Object Reference » (IDOR). Ce type de faille de sécurité permet à un utilisateur authentifié de modifier un identifiant donné (comme un numéro de réservation dans une URL) pour accéder à des objets auxquels il ne devrait pas avoir accès. Les attaquants peuvent exploiter cela en automatisant les requêtes et en parcourant des identifiants successifs, siphonant ainsi des bases de données entières. Cette vulnérabilité spécifique est un problème persistant, figurant en tête de la liste OWASP API Security Top 10 depuis 2019 sous le nom de « Broken Object Level Authorization ».
Le pirate affirme avoir eu un accès continu à la base de données pendant trois semaines sans être détecté, avant d’en informer Maeva, puis d’avoir maintenu son accès pendant trois jours supplémentaires après le blocage de la brèche. Cette affirmation contraste avec les outils de surveillance d’API typiques, qui détecteraient probablement un volume aussi élevé de requêtes provenant d’un seul jeton d’authentification.
Risques potentiels pour les clients
Bien que les détails bancaires n’aient pas été compromis, les données disponibles présentent des risques significatifs pour des attaques ciblées de phishing, smishing (hameçonnage par SMS) ou vishing (hameçonnage vocal). Les fraudeurs peuvent exploiter des détails spécifiques – tels que le cottage exact réservé, les noms des membres de la famille présents lors d’un séjour passé, ou les dates de vacances précédentes – pour établir la confiance et tromper les victimes afin qu’elles divulguent des informations ou effectuent des transactions frauduleuses.
De plus, les numéros de téléphone obtenus lors de la brèche peuvent être utilisés pour des fraudes au « SIM swapping », où un attaquant prend le contrôle du numéro de mobile d’une victime pour intercepter les codes d’authentification à deux facteurs envoyés par SMS. La combinaison du nom complet et de la date de naissance pose également un risque de sécurité, car elle peut être utilisée pour répondre aux questions de sécurité de divers services en ligne.
Préoccupations concernant la conservation des données
La conservation prolongée des données clients, remontant potentiellement à deux décennies selon les affirmations du pirate, soulève des inquiétudes quant aux pratiques de gestion des données. Bien que le groupe ait cité une période de dix ans, les autorités de protection des données comme la CNIL recommandent généralement de limiter la conservation des données clients actives dans le secteur du tourisme à la durée de la relation commerciale, plus trois années supplémentaires à des fins de prospection. Les périodes de conservation plus longues à des fins d’archivage devraient idéalement être sous accès restreint, et non sur des bases de données de production accessibles via des API publiques.
Le groupe Pierre & Vacances-Center Parcs est un acteur majeur du marché européen du tourisme, exploitant plus de 300 sites et ayant enregistré un chiffre d’affaires de 1 946 millions d’euros pour l’exercice 2024-2025. Bien que le pirate ait mentionné d’autres marques comme Adagio, Sunparks et Belambra, Pierre & Vacances maintient que seule sa filiale La France du Nord au Sud a été affectée. Les clients concernés par cette brèche devraient recevoir des notifications individuelles conformément au RGPD.
