En 72 heures, trois géants du tourisme français sont tombés. Pierre & Vacances-Center Parcs, Belambra, Gîtes de France. Près de 6 millions de Français dont les données dorment désormais sur des forums cybercriminels.
Le pirate, qui signe ChimeraZ, n’a même pas dissimulé son intention. Il l’a déclarée publiquement : il voulait « montrer à quel point la France est une passoire en matière de cybersécurité ». La formule est brutale. Elle est surtout exacte.
Au-delà de l’indignation médiatique, la vraie question est ailleurs : que va-t-il concrètement se passer pour les 6 millions de victimes dans les semaines à venir ?
Spoiler : ce n’est pas juste « du phishing ». C’est bien pire, et déjà industrialisé.
Trois fuites, un même pirate
15 mai. Pierre & Vacances-Center Parcs : 1,6 million de réservations officiellement exposées, 4,5 millions selon le pirate, 10 ans d’historique. La faille ? Une IDOR une vulnérabilité élémentaire, dans le top 10 OWASP depuis quinze ans, qui permet d’accéder à des données via une simple manipulation d’URL.
16 mai. Belambra : accès frauduleux confirmé, et c’est le plus glaçant 360 000 enregistrements concernent des mineurs.
17 mai. Gîtes de France : 389 000 clients touchés, 30 ans d’historique (1995-2026), et bonus toxique : 70 000 lignes de logs internes du prestataire ITEA. Une carte routière offerte aux prochains attaquants.
Trois communiqués rassurants « aucune donnée bancaire », « faille corrigée », « CNIL notifiée » et une même réalité : les vrais dégâts ne commencent que maintenant.
Ce que vos données vont vraiment devenir
Le grand malentendu, c’est de croire qu’une fuite « sans données bancaires » est mineure. C’est l’inverse. Les coordonnées bancaires se changent en deux clics. Votre nom, votre adresse, vos habitudes de voyage et celles de vos enfants, eux, vous suivront toute votre vie.
1. Le cambriolage sur calendrier
La gendarmerie le rappelle à chaque campagne Tranquillité Vacances : ne jamais indiquer ses dates de congés en ligne. Sept cambriolages sur dix ont lieu en journée, et un quart se concentrent sur juillet-août.
Or qu’est-ce qu’une base de réservation touristique, sinon la liste nominative des Français absents de leur domicile, à des dates précises, avec leur adresse exacte ?
Nom, adresse, dates d’arrivée/départ, nombre d’occupants, formules choisies (indicateur de niveau de vie) : une base de 389 000 clients sur 30 ans, c’est un planning de repérage prêt à l’emploi, revendable par zone géographique à des réseaux organisés.
2. L’arnaque au paiement, modèle « I Paid Twice »
C’est déjà industrialisé. En novembre 2025, Sekoia publiait un rapport éponyme : des cybercriminels prennent le contrôle de comptes hôteliers Booking, contactent les clients par WhatsApp avec leurs vraies informations (nom, dates, référence, montant), et demandent de régulariser un paiement « échoué ». Un seul acteur de cette mouvance se vante d’avoir engrangé plus de 20 millions de dollars.
Transposez. Demain matin, un client Gîtes de France reçoit :
« Bonjour M. Dupont, Gîtes de France 30. Suite à un incident technique sur votre dossier n°XXXXX pour votre séjour du 14 au 21 juillet à Uzès, merci de confirmer votre paiement de 487 € via le lien sécurisé. »
Tout est vrai sauf le lien. Le taux de clic explose.
3. Le faux surclassement et l’arnaque au crédit
Variante plus perverse. Le pirate propose un « surclassement exceptionnel » sur une réservation à venir passage en villa, demi-pension offerte. L’offre est crédible : bonnes informations, bon prestataire, bon timing.
Le piège prend trois formes :
- Paiement complémentaire sur faux portail (collecte de la nouvelle CB).
- Faux crédit à la consommation : la victime fournit identité, bulletins de salaire, RIB. Le pirate souscrit alors un vrai crédit à son nom, découvert plusieurs mois plus tard.
- Frais de dossier pour « bloquer » l’offre.
Avec 4,5 millions de clients PVCP compromis, un taux de conversion de 0,1 % suffit pour 2,25 millions d’euros de préjudice. Pour une seule campagne.
4. Le ciblage des mineurs
360 000 enregistrements liés à des enfants chez Belambra. Le RGPD article 8 consacre une protection renforcée des données des mineurs. Elle vient d’être violée à très grande échelle.
Les usages criminels : usurpation d’identité différée (créer un compte bancaire au nom d’un enfant dont le profil de crédit est vierge), démarchage prédateur, voire dans les cas les plus graves ciblage par des prédateurs. Le silence des communiqués officiels sur ce point est, disons-le, sidérant.
5. La fraude documentaire en cascade
Une base de cette qualité n’a pas une utilisation unique : croisement avec d’autres bases volées pour construire des dossiers crédibles, fraude au RIB, aux prestations sociales, enrichissement de bases de spam ciblé revendues au million. Une fuite n’est jamais un événement isolé. C’est une matière première qui circule pendant des années.
Le vrai sujet : la France n’a pas pris le virage
Ces trois attaques ne sont pas un accident. Elles sont le symptôme d’un retard structurel.
Retard NIS2. La directive européenne devait être transposée pour octobre 2024. Nous sommes en mai 2026. L’attaquant choisit ses cibles dans un pays qu’il sait, à raison, moins armé que ses voisins.
Retard supply chain. Aucune des trois marques n’a été piratée directement sur son cœur de SI. À chaque fois, c’est un prestataire (ITEA pour Gîtes de France) ou une plateforme filiale qui a cédé. Tant que la cybersécurité s’arrête aux portes de l’entreprise, le scénario se reproduira.
Retard de la culture des données. Trente ans d’historique chez Gîtes de France. Dix ans chez PVCP. Pour quel usage métier réel ? Le RGPD impose une minimisation. Chaque année conservée au-delà du nécessaire est un kilo de plus de matière inflammable.
Bilan global : 485 fuites recensées en France sur les douze derniers mois. Plus d’une par jour. La sénatrice Nathalie Goulet a réclamé une commission d’enquête parlementaire et dénoncé une « France passoire ». ChimeraZ lui a, sans le vouloir, donné raison.
Que faire, maintenant
Si vous êtes client concerné, partez du principe que vos données circulent. Vous serez sollicité.
- Aucune entreprise sérieuse ne demande un paiement par SMS ou WhatsApp.
- Ne cliquez jamais sur un lien de relance : allez sur le site officiel.
- Méfiez-vous des « surclassements » non sollicités, surtout avec offre de crédit.
- Inscrivez-vous à l’Opération Tranquillité Vacances (police/gendarmerie, gratuit).
- En cas de doute : cybermalveillance.gouv.fr.
Si vous êtes une entreprise, les leçons de mai 2026 tiennent en quatre points :
- Auditez votre chaîne fournisseurs. Leur niveau de sécurité est le vôtre.
- Faites tester vos applications. Une IDOR détectée en pré-production coûte mille fois moins cher qu’une fuite à la une de la presse.
- Minimisez les données conservées. Ce qui n’existe pas ne peut pas fuir.
- Préparez votre plan de réponse. Les entreprises qui sortent debout ne sont pas celles qui n’ont jamais été attaquées : ce sont celles qui avaient répété.
ChimeraZ a montré qu’un seul individu pouvait faire tomber trois piliers d’un secteur en trois jours. La prochaine vague ne se fera pas attendre.
La seule question qui reste : serez-vous prêt cette fois-ci ?
