Attaque

Croq’Vacances : 72 916 personnes et 24 Go de documents dans une fuite massive

Une fuite de données attribuée à Croq’Vacances a été revendiquée le 15 juillet 2026. L’organisation française de colonies et séjours de vacances serait concernée par l’exposition de 72 916 personnes uniques, avec des comptes utilisateurs, contacts, candidatures et documents téléversés.

Le dépôt annoncé comprendrait également 17 356 documents représentant environ 24 Go de fichiers, dont des CV, diplômes, photos, pièces d’identité, documents médicaux et carnets ou justificatifs liés à la vaccination. À ce stade, il s’agit d’une revendication non confirmée officiellement.

Croq’Vacances cyberattaque

Plus de 72 000 personnes potentiellement concernées

La base revendiquée regrouperait plusieurs ensembles de données liés au fonctionnement de Croq’Vacances :

  • 72 639 comptes utilisateurs ;
  • 71 181 contacts ;
  • 9 021 candidatures ;
  • 17 356 documents téléversés ;
  • 25 comptes administrateurs ;
  • 72 916 personnes uniques au total.

Le périmètre semble donc dépasser une simple liste de comptes. Il toucherait à la fois des familles, candidats, animateurs, responsables et utilisateurs de la plateforme.

Des candidatures très détaillées exposées

Les données liées aux candidatures seraient particulièrement complètes. Elles peuvent contenir des informations personnelles, administratives et professionnelles utilisées pour postuler à des postes d’animation ou d’encadrement.

Les champs revendiqués comprennent notamment :

  • nom et prénom ;
  • adresse email ;
  • numéro de téléphone ;
  • adresse postale ;
  • date de naissance ;
  • poste demandé ;
  • permis de conduire ;
  • formations et diplômes ;
  • BAFA, BAFD ou autres certifications ;
  • commentaires libres ;
  • documents associés à la candidature.

Ces informations peuvent révéler le parcours professionnel, les qualifications, les disponibilités et parfois la situation personnelle de candidats à des séjours de vacances.

Pièces d’identité, passeports et numéros de Sécurité sociale

La revendication indique également la présence de données administratives sensibles dans les candidatures et documents téléversés.

  • 1 728 numéros de Sécurité sociale ;
  • 1 713 numéros de carte nationale d’identité ;
  • 433 numéros de passeport ;
  • 110 numéros de carte de transport SNCF ;
  • 9 021 dossiers avec identité, adresse, téléphone, email et date de naissance ;
  • des scans de documents officiels.

La présence de pièces d’identité et de numéros administratifs augmente fortement le risque d’usurpation d’identité, surtout lorsque ces données sont associées à une adresse, un téléphone et une date de naissance.

Des données médicales et de vaccination dans les fichiers

Le point le plus sensible concerne les informations de santé. La revendication évoque 1 730 dossiers médicaux complets, pouvant contenir des allergies, traitements, asthme ou autres indications médicales.

Des documents liés à la vaccination seraient également présents parmi les fichiers téléversés. Dans le contexte des colonies de vacances, ces informations peuvent concerner des mineurs, des familles ou des encadrants.

Les données de santé sont particulièrement protégées, car elles peuvent exposer une personne à des discriminations, du chantage ou des sollicitations frauduleuses très ciblées.

Des comptes utilisateurs avec mots de passe hachés

Le dépôt annoncé comprendrait 72 639 comptes utilisateurs, dont 69 477 mots de passe hachés avec bcrypt. Ces mots de passe ne seraient donc pas directement lisibles en clair.

La présence de hachages bcrypt réduit le risque de compromission immédiate, mais n’annule pas le danger. Les mots de passe faibles ou réutilisés peuvent être ciblés par des attaques hors ligne, surtout si les attaquants disposent de temps et de ressources.

La présence revendiquée de 25 comptes administrateurs impose également une attention particulière : ces accès peuvent donner des droits étendus sur la plateforme si les mots de passe sont retrouvés ou réutilisés ailleurs.

Comment une telle fuite a-t-elle pu se produire ?

La méthode d’accès n’est pas détaillée dans les éléments disponibles. Plusieurs scénarios restent possibles : compromission d’un compte administrateur, défaut de contrôle d’accès, sauvegarde exposée, faille applicative ou accès direct à un stockage de documents.

Le volume de fichiers revendiqué laisse penser que les attaquants auraient pu accéder à un espace de stockage important, et pas seulement à une table de comptes utilisateurs.

Des risques élevés pour les familles et les candidats

Les données exposées peuvent être utilisées dans des campagnes de phishing ciblé autour des séjours de vacances, des inscriptions, des candidatures ou des dossiers administratifs.

Les scénarios possibles incluent :

  • fausse demande de paiement pour un séjour ;
  • fausse mise à jour de dossier enfant ;
  • faux message concernant une candidature ;
  • fausse demande de pièce d’identité ;
  • faux remboursement ;
  • demande frauduleuse de documents médicaux ;
  • usurpation d’un animateur ou d’un responsable ;
  • tentative de récupération d’identifiants.

Un risque majeur d’usurpation d’identité

La combinaison entre identité complète, date de naissance, adresse, téléphone, numéro de Sécurité sociale, pièce d’identité et documents officiels représente un risque élevé d’usurpation d’identité.

Ces éléments peuvent être utilisés pour créer de faux dossiers, ouvrir des comptes frauduleux, contourner des vérifications administratives ou rendre crédibles des escroqueries ciblant les familles et les candidats.

Une fuite à confirmer officiellement

Le nombre exact de personnes concernées, la période couverte par les fichiers et l’origine technique de l’accès restent à confirmer. Le volume revendiqué de 24 Go de documents rend toutefois l’incident potentiellement très grave si l’authenticité est établie.

Les personnes ayant utilisé Croq’Vacances, postulé à un poste ou transmis des documents doivent rester vigilantes face aux messages évoquant un séjour, une candidature, un dossier médical ou une pièce administrative.

Thomas Lazzaroni Thomas Lazzaroni
Articles similaires