Les DNA ont révélé que les trois plus importants groupes touristiques français, Pierre&Vacances – Center Parcs, Belambra et Gîtes de France, ont été victimes de cyberattaques début mai. Les données de près de 5 millions de clients seraient diffusées sur le dark web.
Un seul hacker à la manœuvre de ces cyberattaques
Les trois groupes touristiques français ont fait l’objet de cyberattaques à quelques jours d’intervalle au mois de mai 2026. Belambra, qui exploite 44 clubs et hôtels de vacances en France, a vu les données de près de 42 000 clients et les noms de 360 000 mineurs rendues accessibles sur un forum spécialisé du dark web*. De son côté, Gîtes de France s’est fait pirater les données de près de 390 000 clients, comportant les noms, adresses, numéros de téléphones, dates et lieux de réservation. Quant au groupe Pierre&Vacances – Center Parcs, leader du séjour touristique en France, ce sont plus de 4,5 millions d’enregistrements qui ont été siphonnés.
Cette série de piratages serait le fait d’un même hacker, qui se fait appeler ChimeraZ et qui aurait réussi à se procurer plus de 20 ans d’historique. Généralement, ces données sont revendues et servent aux cybercriminels pour mener des campagnes d’hameçonnage, voire des usurpations d’identité. Les DNA indiquent que selon plusieurs rapports d’experts, la France fait désormais partie des pays les plus touchés.
~A lire aussi : Cybercriminalité : quatre internautes sur dix victimes en 2025
Des sites trop vulnérables
Le manque de sécurisation des données est la principale cause de ces fuites. Les attaques reposent sur un type de vulnérabilité bien connue des pirates, qui leur permet de manipuler certains identifiants ou références internes du système informatique et donc de s’introduire dans le système pour exfiltrer des données. La multiplication des plateformes et des marques au sein d’un même groupe accroît les risques car la sécurisation de l’ensemble s’avère plus complexe.
Conformément au Règlement général sur la protection des données (RGPD), les différents groupes ont notifié la violation à la Commission nationale de l’informatique et des libertés (CNIL) et ont porté plainte. Les experts en cybersécurité recommandent aux clients concernés de rester vigilants face à tout message suspect se présentant comme émanant d’une marque d’un de ces groupes.
La sénatrice centriste Nathalie Goulet dénonce une « France passoire » et demande la création d’une commission d’enquête.
—
*une partie d’Internet délibérément isolée et dissimulée – sorte de marché noir – aussi appelée dark net ou deep web
