Attaque

Atout France : plus de 400 000 comptes et plusieurs accès administrateurs revendiqués après une faille IDOR

Une fuite de données attribuée à Atout France, l’agence chargée du développement touristique de la France, a été revendiquée sur un forum cybercriminel. Les auteurs affirment avoir compromis les données de plus de 400 000 utilisateurs du site atout-france.fr.

La revendication évoque également la modification de plusieurs comptes administrateurs après l’exploitation d’une faille critique de type IDOR. À ce stade, ces éléments restent non confirmés officiellement.

Plus de 400 000 comptes Atout France revendiqués

La publication est attribuée à plusieurs acteurs regroupés autour du collectif LunarisSec. Ils affirment avoir pu extraire automatiquement l’ensemble des profils accessibles sans déclencher d’alerte.

Selon leur message, le périmètre concernerait plus de 400 000 comptes, ainsi que plusieurs profils disposant de droits administrateurs. Les attaquants indiquent avoir modifié certains de ces comptes, sans préciser la nature exacte des changements réalisés.

Une faille IDOR aurait permis l’extraction massive

Les auteurs affirment avoir exploité une vulnérabilité de type IDOR, pour Insecure Direct Object Reference. Ce défaut apparaît lorsqu’une application permet d’accéder à des ressources en modifiant un identifiant, sans vérifier correctement les droits de l’utilisateur.

Dans ce type de scénario, un attaquant peut parcourir automatiquement des profils successifs et récupérer les informations associées. Si la faille revendiquée est confirmée, l’extraction aurait pu être réalisée à grande échelle sans nécessiter un accès administrateur initial.

Quelles données sont potentiellement exposées ?

Les champs cités dans la revendication montrent une base particulièrement riche en informations professionnelles et administratives :

  • identifiant de profil ;
  • identifiant utilisateur Drupal ;
  • nom et prénom ;
  • adresse email ;
  • numéro de téléphone ;
  • identifiant de connexion ;
  • organisation de rattachement ;
  • fonction ;
  • numéro de membre ;
  • type de profil ;
  • numéro SIRET ;
  • adresse de facturation ;
  • code postal, ville et pays de facturation ;
  • adresse de livraison ;
  • code postal, ville et pays de livraison ;
  • lien interne de modification du profil.

Aucun mot de passe ni donnée bancaire complète n’est mentionné dans la liste publiée. La présence d’identifiants Drupal, d’informations professionnelles et de liens associés aux profils reste toutefois préoccupante.

Des entreprises et acteurs du tourisme potentiellement concernés

Atout France travaille avec de nombreux professionnels du tourisme, collectivités, organismes territoriaux, hébergeurs et entreprises du secteur. La base revendiquée pourrait donc permettre de cartographier une partie importante de cet écosystème.

La combinaison entre identité, organisation, fonction, numéro SIRET et coordonnées professionnelles peut être utilisée pour cibler précisément des responsables d’entreprise ou des interlocuteurs institutionnels.

Des risques élevés de phishing ciblé

Le principal risque concerne le phishing professionnel. Un attaquant peut exploiter le nom d’une organisation, la fonction d’une personne, une adresse de facturation ou un numéro de membre pour envoyer des messages particulièrement crédibles.

Les scénarios possibles incluent de fausses demandes de mise à jour de compte, de faux renouvellements d’adhésion, des factures frauduleuses, de fausses communications institutionnelles ou des messages usurpant Atout France.

La modification de comptes administrateurs aggrave le risque

Les auteurs affirment avoir compromis et modifié plusieurs comptes administrateurs. Si cette partie est confirmée, le risque dépasserait la simple fuite de données.

Un accès administrateur peut permettre de consulter davantage de ressources, modifier des profils, créer de nouveaux comptes, altérer des contenus ou maintenir un accès persistant à l’application.

Une revendication à confirmer officiellement

À ce stade, le nombre exact de personnes concernées, l’origine technique de la faille et la réalité des modifications de comptes administrateurs doivent être confirmés par une analyse officielle.

Si les éléments publiés sont avérés, l’incident serait majeur pour Atout France : il concernerait plus de 400 000 profils, des données professionnelles détaillées et potentiellement plusieurs comptes administrateurs.

Que doivent surveiller les utilisateurs ?

Les personnes disposant d’un compte Atout France doivent rester vigilantes face aux emails ou appels évoquant une mise à jour de profil, une adhésion, une facture, un changement de coordonnées ou une connexion urgente.

Toute demande inhabituelle doit être vérifiée directement depuis les canaux officiels. Le fait qu’un message mentionne une organisation, une fonction ou une adresse réelle ne suffit pas à garantir son authenticité.

Thomas Lazzaroni Thomas Lazzaroni
Articles similaires