Cyberattaque chez Pierre & Vacances : 1,6 million de réservations exposées
Le groupe Pierre & Vacances-Center Parcs a révélé vendredi 15 mai 2026 avoir été victime d'une cyberattaque ciblant une filiale de sa marque Maeva, exposant les données personnelles liées à 1,6 million de réservations. Un hacker revendique l'attaque sous le pseudonyme ChimeraZ, une plainte a été déposée auprès des autorités et la CNIL a été notifiée, tandis que le groupe affirme avoir colmaté la faille de sécurité à l'origine de l'incident.
C'est le 14 mai 2026 que le groupe touristique a pris connaissance de l'incident, avant de le confirmer publiquement le lendemain via un communiqué officiel. La cyberattaque a touché la marque "La France du Nord au Sud", une filiale de Maeva & Co — elle-même intégrée au groupe Pierre & Vacances-Center Parcs, l'un des leaders européens de l'hébergement de loisirs et de vacances. Le hacker à l'origine de l'attaque, opérant sous le pseudonyme ChimeraZ, a revendiqué l'exploit sur un forum cybercriminel le 15 mai, affirmant avoir mis la main sur les données de plus de 4,5 millions de clients et l'historique de quelque 38 945 résidences et hébergements.
Les premières investigations menées par le groupe ont confirmé une fuite de données portant sur 1,6 million de réservations, avec un historique potentiellement étendu sur une dizaine d'années. Les informations exposées comprennent les numéros de réservation, les dates et lieux de séjour, les noms des occupants, leurs numéros de téléphone ainsi que leurs dates de naissance. Le groupe s'est toutefois voulu rassurant sur un point crucial : "Aucune donnée bancaire ni adresse e-mail n'ont pu être collectées", a-t-il officiellement assuré dans sa communication de crise.
Si la marque directement touchée est "La France du Nord au Sud", filiale de Maeva, les ramifications du groupe Pierre & Vacances-Center Parcs sont nombreuses. L'écosystème comprend des enseignes bien connues comme Pierre & Vacances, Center Parcs, Sunparks, Campings Paradis, Belambra, Adagio ou encore Ushuaïa Villages. La question de l'étendue réelle de la fuite au-delà de la filiale directement ciblée reste posée, même si le groupe a tenu à circonscrire officiellement le périmètre affecté à la seule marque "La France du Nord au Sud".
Une faille technique de type IDOR à l'origine de l'attaque
L'attaque repose sur une vulnérabilité de type IDOR (Insecure Direct Object Reference), une faille bien documentée dans le domaine de la cybersécurité. Ce type de faiblesse permet à un utilisateur authentifié d'accéder à des ressources qui ne lui sont normalement pas accessibles, en manipulant certains identifiants ou références internes du système informatique. Concrètement, il suffit de modifier quelques paramètres dans les requêtes envoyées au serveur pour consulter ou extraire des données appartenant à d'autres utilisateurs.
Ce type de vulnérabilité, bien que relativement simple à exploiter pour un attaquant expérimenté, peut avoir des conséquences dévastatrices lorsqu'il touche des systèmes hébergeant des millions de dossiers clients. Le groupe Pierre & Vacances-Center Parcs affirme avoir rapidement identifié et corrigé la faille de sécurité dès qu'il en a eu connaissance. "Des mesures techniques et correctives ont immédiatement été déployées pour sécuriser les systèmes concernés", a précisé le groupe dans sa communication officielle.
L'incident illustre une nouvelle fois la nécessité pour les grandes entreprises du secteur touristique de maintenir des audits de sécurité réguliers et des tests d'intrusion approfondis. Les systèmes de réservation en ligne, qui concentrent des volumes importants de données personnelles sensibles, constituent des cibles de choix pour les cybercriminels. La multiplication des plateformes et des marques au sein d'un même groupe accroît encore la surface d'attaque potentielle, rendant la sécurisation d'ensemble particulièrement complexe à assurer.
Des obligations réglementaires strictes et une enquête judiciaire ouverte
Conformément au Règlement général sur la protection des données (RGPD), le groupe Pierre & Vacances-Center Parcs a procédé à la notification de la Commission nationale de l'informatique et des libertés (CNIL). Cette obligation légale s'impose à toute entité traitant des données personnelles en cas de violation susceptible d'engendrer un risque pour les droits et libertés des personnes concernées. Le non-respect de cette obligation expose les entreprises à des sanctions financières pouvant atteindre plusieurs dizaines de millions d'euros.
En parallèle, une plainte a été déposée contre X auprès des autorités judiciaires compétentes, ouvrant la voie à une enquête criminelle visant à identifier et confondre les auteurs de l'attaque. La revendication publique du hacker ChimeraZ sur un forum spécialisé constitue un élément d'enquête potentiellement précieux pour les enquêteurs. Les forces de l'ordre spécialisées dans la lutte contre la cybercriminalité, notamment l'OFAC (Office anti-cybercriminalité), seront vraisemblablement mobilisées pour conduire les investigations.
Pour les 1,6 million de clients potentiellement touchés, les risques immédiats restent limités en l'absence de données bancaires ou d'identifiants numériques dans les données exfiltrées. Néanmoins, la combinaison d'informations telles que le nom, le numéro de téléphone et la date de naissance peut être exploitée à des fins d'hameçonnage ciblé ou de tentatives d'usurpation d'identité. Les experts en cybersécurité recommandent aux clients du groupe de rester vigilants face à tout message suspect se présentant comme émanant d'une marque du groupe. Cette affaire s'inscrit dans une vague de cyberattaques frappant les entreprises françaises : après la cyberattaque contre Darty ayant compromis les données de 80 000 clients, ou encore la fuite de 10 millions de données personnelles chez Relais Colis, le secteur commercial français reste une cible prioritaire pour les acteurs malveillants.