En l’espace de trois jours, trois grands acteurs du tourisme français ont été victimes du même cybercriminel. Après Pierre et Vacances-Center Parcs vendredi — qui a déposé plainte pour une fuite portant sur 1,6 million de réservations — et Belambra samedi, c’est Gîtes de France qui a confirmé dimanche 18 mai avoir été victime d’un vol massif de données concernant près de 389 000 clients. L’information avait été révélée en amont par le site French Breaches, spécialisé dans le recensement des fuites en ligne.
Le pirate, identifié sous le pseudonyme ChimeraZ et présenté comme un cybercriminel français, revendique avoir dérobé des données de réservation de Gîtes de France s’étalant sur plus de trente ans, de 1995 à 2026. Les informations compromises incluent noms et prénoms, dates et nombre de nuitées, adresses e-mail, numéros de téléphone et adresses postales des clients. Gîtes de France assure qu’aucune donnée bancaire n’a été collectée. La faille provenait du prestataire informatique Itea, dont les logiciels sont utilisés par certaines centrales de réservation départementales du réseau. Seuls quelques départements sont concernés : la Haute-Garonne, le Cantal et la Guadeloupe ont été mentionnés par le pirate.
Le fondateur de French Breaches, qui a échangé directement avec le hacker sur une messagerie sécurisée, rapporte que ce dernier a déclaré “avoir agi pour gagner en visibilité et montrer à quel point la France est une passoire en matière de cybersécurité.” Un hacker se présentant comme éthique, répondant au pseudonyme Saxx, a de son côté alerté publiquement sur X de l’ampleur des attaques, confirmant qu’un seul et même individu était à l’origine des trois piratages.
Gîtes de France, Pierre et Vacances-Center Parcs et Belambra ont tous annoncé leur intention de porter plainte. Gîtes de France indiquera lundi à ses clients concernés la nature exacte des données compromises. Cette série d’attaques consécutives contre des acteurs du tourisme pose avec acuité la question de la cybersécurité des prestataires informatiques mutualisés, dont la compromission peut avoir des effets en cascade sur plusieurs organisations clientes.
