Une série coordonnée de fuites de données frappe les acteurs majeurs du tourisme français. L’exploitation de failles de type IDOR et l’accès aux données sensibles de réservation permettent aux cybercriminels de mener des attaques ciblées de phishing et d’usurpation d’identité.
Belambra, Pierre & Vacances, Gîtes de France, fuites de données en série chez les acteurs du tourisme
By
Published on 24 mai 2026 11h00
15%Pas moins de 15 % des Français disent avoir été victimes d'une arnaque en 2022
La multiplication des fuites de données observées ces derniers temps traduit un effet de série. Plusieurs bases de données issues d'acteurs majeurs du tourisme, ont été publiées presque simultanément sur des forums du dark web. Il existe un facteur commun entre ces attaques. Un même acteur qui revendique différents accès et publie les données de manière rapprochée. Ces fuites multiples renforcent l'idée d'une action coordonnée plutôt que d'incidents isolés.
Sur le plan technique, un mode opératoire commence à émerger, au moins pour certains cas documentés. Par exemple, l'exploitation d'une faille de contrôle d'accès de type IDOR. Celle-ci permet d'accéder à des données via des identifiants modifiables dans les barres d'adresses (URL). Ce sont des paramètres qui permettent d'identifier chaque personne de manière unique. Mais si le site est vulnérable à cette faille, il suffit de changer le paramètre pour accède à la fiche d'un autre internaute. Cette faille peut être industrialisée et mener à une extraction à grande échelle. De leur côté, d'autres acteurs ciblés récemment évoquent simplement un accès frauduleux à leurs systèmes, sans précision technique publique à ce stade. Il reste à déterminer si un outil commun à ces fuites serait utilisé et vulnérable. Il permettrait de comprendre pourquoi il y a une série de piratages.
Si le secteur du tourisme est particulièrement visé, c'est d'abord en raison de la nature des données qu'il traite. Les informations de réservation contiennent des éléments très précis sur les clients, comme les dates de séjour, les lieux, les noms ou les coordonnées, etc. Ces éléments permettent de construire des scénarios d'attaque extrêmement crédibles. En outre, le tourisme repose sur des plateformes très exposées, interconnectées et dépendantes de nombreux prestataires, ce qui élargit la surface d'attaque et multiplie les points de fragilité.
Ces données ont une valeur immédiate pour les cybercriminels, car elles facilitent des campagnes de phishing ou de fraude très ciblées. En pratique, un attaquant peut contacter une victime en reprenant des détails exacts de séjour afin de la convaincre de réaliser un paiement ou de fournir des informations supplémentaires. Mais leur valeur ne s'arrête pas là, car ces informations servent aussi à enrichir des profils utilisés pour des usurpations d'identité ou des attaques plus complexes, en étant recoupées avec d'autres fuites.
Dans ce contexte, la tendance structurelle reste préoccupante, et elle s'inscrit dans une dynamique plus large observée dans le secteur du voyage. Les analyses sectorielles montrent en effet que les attaques visant les plateformes de réservation, les comptes et les données clients devraient se poursuivre, notamment via des campagnes de phishing ou l'exploitation de vulnérabilités connues.
Il faut donc s'attendre à une poursuite de ces incidents à court terme, même si toutes les revendications ne sont pas nécessairement confirmées. Par ailleurs, le principal risque immédiat concerne désormais l'exploitation des données déjà diffusées, avec une augmentation probable des arnaques ciblées auprès des clients concernés. L'exploitation de failles de type IDOR peut intervenir sur de nombreux systèmes, il n'est pas exclu que d'autres secteurs soient testés et visés s'ils sont vulnérables et exposés comme les services de réservation.