1,6 million de réservations chez Pierre & Vacances. 402 000 chez Belambra, dont 360 000 mineurs. 389 000 chez Gîtes de France, sur des données qui remontent à 1995. Le tout en 72 heures et signé du même pseudonyme.
Un seul pirate, trois géants des vacances
Le mode opératoire est limpide. Vendredi 15 mai, Pierre & Vacances-Center Parcs annonce qu’une cyberattaque a exposé 1,6 million de dossiers de réservation. Samedi, Belambra confirme à son tour une fuite « d’ampleur ». Dimanche, c’est au tour de Gîtes de France de publier un communiqué embarrassé. Trois groupes différents, trois communiqués quasi identiques, et un point commun que personne n’a tardé à voir : derrière chaque fuite, le même cybercriminel, qui revendique ses coups sous le pseudonyme « ChimeraZ ».
L’information est sortie sur French Breaches, le site français de recensement des fuites qui a échangé directement avec le pirate sur une messagerie chiffrée. Selon son fondateur, ChimeraZ assume parfaitement la série. Il dit avoir voulu « gagner en visibilité et montrer à quel point la France est une passoire en matière de cybersécurité ». Pas de demande de rançon publique, pas de revente immédiate sur le dark web : les données ont été directement diffusées, dans une logique de démonstration.
Ce que les pirates ont vraiment pris
Chez Pierre & Vacances-Center Parcs, le butin couvre une décennie. Numéros de réservation, dates de séjour, adresses des résidences, noms des occupants, téléphones, dates de naissance. Le groupe insiste : aucune donnée bancaire, aucune adresse mail. French Breaches conteste ce périmètre et parle de 4,5 millions de clients identifiés entre 2005 et 2026, avec emails à la clé sur certaines bases connexes du groupe Maeva.
Chez Belambra, le bilan est plus glaçant. Le pirate revendique six mois de données fraîches, entre novembre 2025 et mai 2026. Noms, prénoms, emails, dates d’arrivée et de départ, nombre d’adultes et d’enfants par réservation. Surtout, environ 360 000 lignes concernent des mineurs : prénoms d’enfants, âges, dates exactes de séjour dans tel ou tel club. Le genre d’informations qui permet à un escroc de reconstituer une famille entière en deux clics.
Chez Gîtes de France, c’est l’historique qui frappe. Le pirate affirme avoir exfiltré trente années de réservations, de 1995 à 2026, sur certaines centrales départementales. Noms, emails, téléphones, adresses postales, dates et durées de séjour. Aucune coordonnée bancaire selon le réseau, mais une profondeur d’archive jamais vue chez un acteur du tourisme français.
Itea, le maillon faible que personne ne nommait
Côté technique, la coïncidence n’en est pas une. Gîtes de France a reconnu noir sur blanc que la faille venait d’un prestataire informatique, la société Itea, dont les logiciels équipent plusieurs centrales de réservation départementales. Sont concernés au moins la Guadeloupe, la Haute-Garonne et le Cantal, selon les éléments transmis par ChimeraZ à French Breaches. Le réseau précise que « seuls quelques départements » sont touchés, sans détailler la liste.
Le profil de la cible est typique. Itea est une PME de l’IT touristique, presque invisible du grand public mais branchée sur les systèmes de centaines d’établissements. Quand ce genre de fournisseur tombe, ce ne sont pas ses propres clients qui paient, ce sont les clients de ses clients. Le même schéma se rejoue régulièrement depuis 2022, des fuites Free aux piratages d’éditeurs RH, et toujours sur le même angle mort : on signe avec une grande marque, on hérite des failles d’un sous-traitant qu’on n’a jamais vu.
Reste à savoir si Pierre & Vacances et Belambra partagent ce maillon ou un autre. Les trois groupes n’utilisent pas tous le même outil, mais French Breaches estime que la concentration des plateformes de réservation autour de quelques éditeurs explique la cadence des attaques. Trois cibles différentes, peut-être deux ou trois failles distinctes, mais une seule personne pour les enchaîner.
« Saxx », ChimeraZ et la guerre des hackeurs
L’affaire a une dimension presque théâtrale. C’est un autre hacker, qui se présente comme éthique sous le pseudonyme « Saxx », qui a sonné l’alarme publiquement sur X dimanche : « ~400 000 personnes touchées. Toutes leurs données personnelles ont été diffusées par le même cybercriminel français, ChimeraZ, le même qui a aussi piraté Pierre et Vacances ainsi que Belambra. » Le message a circulé bien avant le communiqué officiel de Gîtes de France.
Cette mise en scène entre attaquant et lanceur d’alerte fait partie de la sous-culture cyber française : ChimeraZ revendique pour la gloire, Saxx alerte pour exister, French Breaches documente pour son audience. Au milieu, des millions de noms et d’emails se retrouvent en accès quasi libre, exploitables par n’importe quel petit escroc qui voudra envoyer un faux SMS « votre séjour Center Parcs nécessite une confirmation de paiement ».
Cinq millions de cibles potentielles pour le phishing
C’est là que l’addition fait mal. En cumulant les chiffres officiels et les chiffres revendiqués par le pirate, le total potentiel dépasse les cinq millions de Français concernés par au moins une fuite dans le secteur du tourisme, sur la seule semaine du 15 mai. La majorité ne risque pas de perdre d’argent directement, faute de données bancaires volées. Mais elle devient une cible idéale pour le phishing ciblé : un escroc qui connaît votre prénom, le nom de votre enfant, la résidence où vous avez séjourné et la date exacte de votre dernière réservation peut écrire un faux SMS quasi indétectable.
Les recommandations des trois groupes sont identiques et timides : se méfier des messages se présentant comme venant d’eux, ne jamais cliquer sur des liens reçus par SMS, vérifier directement sur le site officiel toute demande de paiement. La Commission nationale de l’informatique et des libertés a été saisie par Pierre & Vacances. Belambra et Gîtes de France ont annoncé leur intention de porter plainte.
Trois plaintes, une question sans réponse
Identifier ChimeraZ relève du marathon judiciaire. Le pseudonyme est récent, les serveurs sans doute hébergés hors d’Europe, et la coopération internationale en matière de cybercriminalité reste poussive. Les enquêteurs de l’Anssi et de la sous-direction de la lutte contre la cybercriminalité sont déjà saisis sur le volet Pierre & Vacances, et le seront probablement sur les deux autres dossiers dans la foulée.
Le pirate identifié ou pas, la question qui plane sur le secteur est celle des sanctions. Le règlement européen sur la protection des données prévoit des amendes pouvant atteindre 4 % du chiffre d’affaires mondial pour un opérateur qui n’aurait pas suffisamment sécurisé ses bases. La CNIL n’a encore donné aucun signal sur d’éventuelles procédures, mais elle a déjà sanctionné des sites d’hébergement dans des affaires de moindre ampleur. La prochaine étape se jouera dans les semaines à venir, et le secteur du tourisme n’a manifestement pas fini d’occuper la rubrique faits divers du numérique.
