Pierre & Vacances, Belambra et Gîtes de France piratés : quelles données sont concernées ?

Le secteur français du tourisme traverse actuellement une série noire... en matière de cybersécurité. En quelques jours, Pierre & Vacances-Center Parcs, Belambra et Gîtes de France ont tous confirmé avoir été victimes de vols de données impliquant potentiellement plusieurs centaines de milliers de clients, dont de nombreux mineurs.

Pierre & Vacances le premier frappé

Le premier concerné a été Pierre & Vacances-Center Parcs. Le groupe a reconnu une fuite massive de données touchant sa filiale La France du Nord au Sud, liée à la marque Maeva. Selon French Breaches, le hacker aurait récupéré des données concernant potentiellement plus de 4,5 millions de clients, sur une période allant de 2005 à 2026.

Parmi les données exposées, on trouve noms, numéros de réservation, dates de séjour, numéros de téléphone, dates de naissance, ou encore identité des occupants. Pierre & Vacances affirme néanmoins qu’aucune donnée bancaire ni adresse email n’auraient été compromises.

Une intrusion systéme chez Belambra

Le hack de Belambra a été aussi révélé par le site spécialisé French Breaches, qui affirme avoir été directement contacté par le pirate à l’origine de l’attaque. Celui-ci affirme avoir eu accès à environ six mois de données internes. A priori, plus de 41 000 réservations détaillées auraient été compromises, plus de 42 000 dossiers clients auraient été exposés, ainsi qu’environ 360 000 données liées à des mineurs et enfants enregistrés dans les réservations.

Contacté par l’AFP, Belambra a confirmé un accès frauduleux à une partie de nos infrastructures numériques ayant entraîné l’exposition d’une partie des données liées aux dossiers de réservation. Toutefois, la plateforme précise qu’aucune donnée bancaire, pièce d’identité, ni mot de passe n’auraient été compromis. Elle indique avoir pris des mesures correctives, lancé une enquête interne, et déposé plainte, mais elle n'a pas encore communiqué précisément le nombre total de clients potentiellement concernés.

Gîtes de France touché à son tour

Enfin, dimanche, Gîtes de France a également reconnu avoir subi un vol de données. Selon French Breaches, plus de 389 000 clients pourraient être concernés. Le pirate revendique cette fois l’accès à des données couvrant plus de 30 ans d’historique, entre 1995 et 2026.

Les informations compromises incluraient notamment noms et prénoms, adresses postales, emails, téléphones, ainsi que les détails des réservations. Gîtes de France affirme que la faille proviendrait de son prestataire informatique Itea, utilisé par certaines centrales de réservation départementales. Apparemment, la Guadeloupe, la Haute-Garonne, et le Cantal auraient notamment été cités par le hacker.

Le tourisme devient une cible privilégiée

Ces attaques confirment une tendance de plus en plus inquiétante : le secteur du tourisme et de l’hébergement est devenu particulièrement attractif pour les cybercriminels. Les raisons sont nombreuses : multiplicité des partenaires, systèmes de réservation parfois vieillissants, très grandes quantités de données personnelles, ou encore présence fréquente d’informations familiales et de mineurs.

Les pirates cherchent désormais moins à voler des données bancaires qu’à récupérer des identités, des habitudes de déplacement, des coordonnées personnelles, ou des bases clients revendables. Ces nouvelles attaques s’ajoutent à une longue série d’incidents récents en France comme Free, Logis Hôtels, Brit Hotel, plusieurs fédérations sportives, ministères ou encore l’ANTS touchée récemment par une fuite massive concernant près de 12 millions de personnes.