Une fuite de données attribuée à Accor a été revendiquée le 16 juillet 2026. L’auteur affirme avoir compromis un compte employé et accédé à un outil interne du groupe hôtelier, avant d’extraire une base partielle de 162 437 fiches clients.
Accor exploite de nombreuses marques hôtelières internationales, dont ibis, Novotel, Mercure, Pullman, Sofitel, MGallery, Raffles, Fairmont ou encore Orient Express. À ce stade, la revendication n’est pas confirmée officiellement par le groupe.

Un outil interne nommé LUKE aurait été utilisé
Selon la revendication, l’accès aurait été obtenu via un compte employé permettant d’entrer dans un outil interne nommé LUKE. L’auteur affirme avoir ensuite parcouru des identifiants clients pour récupérer les fiches une par une.
L’extraction aurait été interrompue après détection de l’activité par les systèmes de surveillance d’Accor. L’auteur indique avoir été déconnecté avant de pouvoir récupérer un volume plus important.
162 437 lignes et un échantillon d’environ 1 150 fiches
La base mise en vente serait partielle et contiendrait 162 437 lignes. Un échantillon d’environ 1 150 fiches clients aurait été diffusé pour appuyer la revendication.
L’auteur affirme que l’outil donnerait potentiellement accès à des données concernant plusieurs dizaines de millions de clients. Ce chiffre reste impossible à vérifier, l’extraction revendiquée ayant été interrompue.
Identité, coordonnées et fidélité exposées
Les données potentiellement concernées comprennent notamment :
- nom complet ;
- civilité ;
- date de naissance ;
- nationalité ;
- langue ;
- adresse email ;
- numéro de téléphone ;
- adresse postale ;
- ville, code postal et pays ;
- identifiant interne ;
- données de fidélité ;
- historique de réservations ;
- montants associés à certains séjours ;
- données professionnelles ;
- situation familiale dans certains cas ;
- adresse IP.
Une minorité de fiches comporterait également un numéro de pièce d’identité ou un identifiant fiscal. Aucun mot de passe ni coordonnée bancaire ne figurerait dans l’échantillon diffusé.
Des clients très majoritairement internationaux
Les fiches revendiquées concerneraient une population largement internationale. Les clients résidant en France représenteraient environ un dixième de l’échantillon, le reste étant réparti dans plusieurs pays.
Cette dimension internationale complique l’évaluation du périmètre réel et pourrait impliquer plusieurs autorités de protection des données si l’incident est confirmé.
L’historique de séjours augmente la sensibilité
La présence d’un historique de réservations rend la fuite plus sensible qu’une simple liste de coordonnées. Ces informations peuvent révéler des habitudes de voyage, des lieux fréquentés, des périodes de déplacement ou des séjours professionnels.
Associées à l’identité, au programme de fidélité et aux coordonnées d’un client, ces données peuvent être utilisées pour créer des messages frauduleux très crédibles.
Des risques de phishing au nom d’Accor
Les clients concernés pourraient être ciblés par des emails, SMS ou appels se faisant passer pour Accor ou l’une de ses marques hôtelières.
Les scénarios possibles incluent :
- fausse confirmation de réservation ;
- faux remboursement de séjour ;
- fausse mise à jour du compte fidélité ;
- faux problème de paiement ;
- fausse offre personnalisée ;
- demande frauduleuse de pièce d’identité ;
- tentative de récupération d’identifiants.
Un accès interne potentiellement plus grave qu’une simple fuite
L’auteur affirme avoir eu accès au réseau interne, au VPN corporate et à plusieurs systèmes internes. Ces affirmations ne sont pas démontrées publiquement, mais elles aggraveraient fortement l’incident si elles étaient confirmées.
Une compromission de compte employé peut permettre à un attaquant d’explorer des outils internes, d’accéder à des données métier et de comprendre l’organisation technique avant d’être détecté.
Une revendication encore à vérifier
À ce jour, Accor n’a pas communiqué publiquement sur cette revendication. Aucun volume total, aucune notification officielle et aucune confirmation d’autorité ne sont disponibles.
Le chiffre de 162 437 lignes correspond à la base partielle annoncée. Les déclarations évoquant des dizaines de millions de clients accessibles doivent être considérées avec prudence tant qu’elles ne sont pas confirmées par une enquête.