Gîtes de France confirme avoir été victime samedi d’une cyberattaque majeure exposant les données de près de 389 000 clients. Cette attaque, menée par le même hacker ayant visé Pierre et Vacances et Belambra, révèle les failles béantes de la cybersécurité française dans le secteur touristique.
Gîtes de France victime d’une cyberattaque de grande ampleur
By
Published on 18 mai 2026 10h07
2026Les données compromises couvrent une période exceptionnellement longue, courant de 1995 à 2026.
Gîtes de France touché par une cyberattaque massive
Le secteur touristique français traverse une crise cybersécuritaire sans précédent. Gîtes de France, l'emblématique réseau d'hébergements ruraux, a confirmé le dimanche 17 mai avoir été victime d'un vol de données affectant près de 389 000 clients. Cette cyberattaque, perpétrée la veille, le 16 mai 2026, s'inscrit dans une série d'offensives coordonnées ciblant les plus grands acteurs du tourisme hexagonal en l'espace de soixante-douze heures à peine.
Selon les informations relayées par TF1 Info, il s'agit du troisième cas de cyberattaque majeure en trois jours, après Pierre et Vacances-Center Parcs le vendredi et Belambra le samedi. Un même cybercriminel, opérant sous le pseudonyme ChimeraZ, revendique l'ensemble de ces intrusions successives.
Un réseau historique du tourisme rural pris pour cible
Gîtes de France constitue l'un des piliers du tourisme rural français depuis les années 1950. Cette fédération nationale fédère plusieurs dizaines de milliers d'hébergements disséminés sur l'ensemble du territoire — chambres d'hôtes, gîtes ruraux, campings à la ferme —, et représente à ce titre un acteur incontournable de l'économie touristique de proximité.
L'organisation repose sur un modèle décentralisé où chaque département dispose de sa propre centrale de réservation. Cette structure territoriale, gage d'authenticité et de proximité humaine, s'est révélée être un talon d'Achille face aux cybercriminels. La faille exploitée provenait en effet du prestataire informatique Itea, dont les logiciels équipent plusieurs de ces centrales départementales. D'après les informations rapportées par CNews, seuls quelques départements ont été formellement mentionnés par le hacker : la Guadeloupe, la Haute-Garonne et le Cantal.
Trente ans d'historique client exposés en quelques heures
Les données compromises couvrent une période exceptionnellement longue, courant de 1995 à 2026 — soit plus de trois décennies d'archives numérisées. Cette temporalité révèle à la fois la richesse du patrimoine informationnel accumulé par Gîtes de France et l'étendue du désastre pour les quelque 389 000 clients concernés.
Parmi les informations dérobées figurent les noms et prénoms complets, les adresses postales, les numéros de téléphone, les adresses électroniques, ainsi que les dates, durées et montants des réservations effectuées sur l'ensemble de cette période. Les premières investigations menées par le réseau indiquent qu'aucune donnée bancaire n'a toutefois été compromise — information rassurante, mais qui tempère peu les risques réels d'exploitation malveillante des données personnelles ainsi exposées.
ChimeraZ, le hacker qui veut prouver que la France est une passoire
L'analyse des trois cyberattaques successives révèle une stratégie délibérément démonstrative. Selon le fondateur de French Breaches, site spécialisé dans le recensement des fuites de données, le cybercriminel ChimeraZ aurait explicitement déclaré vouloir « gagner en visibilité et montrer à quel point la France est une passoire en matière de cybersécurité ». Au-delà du simple profit, il s'agit d'une mise en scène orchestrée pour exposer les failles structurelles du secteur touristique français.
L'offensive, qualifiée de « massive » par France 3, se traduit par des chiffres éloquents : Pierre et Vacances-Center Parcs a vu 1,6 million de réservations compromises ; Belambra a subi l'exposition de plus de 400 000 enregistrements, dont 360 000 concernant des mineurs ; Gîtes de France, enfin, déplore 389 000 clients touchés sur trois décennies d'activité. En moins de soixante-douze heures, c'est l'ensemble de la chaîne touristique française qui s'est retrouvée sous les projecteurs de la cybercriminalité.
Des répercussions économiques et réputationnelles durables
Cette cyberattaque survient à un moment particulièrement vulnérable pour l'industrie touristique, en pleine préparation de la saison estivale. Pour Gîtes de France, les répercussions dépassent très largement la dimension technique de la faille de sécurité. Sur le plan réputationnel, l'incident ébranle la confiance d'une clientèle fidèle, attachée à un réseau dont l'authenticité et la proximité constituent l'identité même. La compromission de données couvrant trente années d'activité met par ailleurs en lumière des lacunes profondes dans la gestion de la sécurité informatique au fil des décennies.
Sur le plan financier, les coûts directs incluront la mise en conformité des systèmes, le renforcement des infrastructures de cybersécurité et l'accompagnement des clients victimes. S'y ajouteront les frais juridiques liés à la plainte annoncée par le réseau, ainsi que les éventuelles sanctions de la CNIL, autorité compétente en matière de protection des données personnelles en France.
Des risques concrets pour les 389 000 clients touchés
Les données volées présentent un potentiel d'exploitation particulièrement redoutable. Contrairement aux simples bases marketing, elles permettent de reconstituer avec précision les habitudes de voyage des victimes, leurs périodes d'absence du domicile, voire leur niveau de dépenses — autant d'informations précieuses pour des cybercriminels organisés. Les risques concrets vont du phishing ciblé exploitant l'historique touristique aux tentatives d'usurpation d'identité, en passant par des arnaques sophistiquées liées aux réservations ou, dans les cas les plus graves, des cambriolages opportunistes perpétrés durant des absences documentées. Le Télégramme souligne par ailleurs que la présence de logs techniques et d'éléments internes dans la fuite aggrave encore la situation, offrant aux attaquants une cartographie précieuse de l'architecture informatique de certaines structures départementales.
La cybersécurité française, un chantier urgent et mal engagé
Ces attaques successives s'inscrivent dans un contexte plus large de vulnérabilité structurelle française face aux menaces numériques. Le site French Breaches a recensé pas moins de 485 fuites de données sur les douze derniers mois, plaçant la France parmi les pays les plus exposés d'Europe occidentale — un bilan qui interpelle d'autant plus que le pays accuse un retard significatif dans la transposition de la directive européenne NIS2, initialement prévue pour octobre 2024. Ce texte fondamental vise à étendre les obligations de cybersécurité à plusieurs dizaines de milliers d'entreprises et d'administrations, et son absence dans le droit français constitue une lacune béante face à la multiplication des offensives.
La sénatrice centriste Nathalie Goulet a récemment dénoncé une « France passoire » et réclamé la création d'une commission d'enquête parlementaire, témoignant d'une prise de conscience institutionnelle encore balbutiante mais désormais inévitable. Car si la cybersécurité demeure un sujet technique, elle est aussi, comme le rappellent cruellement ces trois attaques en soixante-douze heures, une question de souveraineté nationale et de confiance citoyenne.