Attaque

France Pare-Brise : 100 000 dossiers avec permis, cartes grises et IBAN revendiqués

Une fuite de données attribuée à France Pare-Brise a été revendiquée en juillet 2026. L’auteur affirme avoir exploité une faille de contrôle d’accès sur le site franceparebrise.fr afin de récupérer des documents clients au format PDF.

Environ 100 000 personnes pourraient être concernées selon la revendication. Les dossiers exposés réuniraient des informations d’identité, des coordonnées bancaires, des documents liés aux véhicules et des données d’assurance. À ce stade, l’incident et le volume annoncé ne sont pas confirmés officiellement.

Des factures et dossiers de sinistre accessibles

France Pare-Brise, marque du groupe Saint-Gobain, gère des dossiers liés à la réparation et au remplacement de vitrages automobiles. Ces documents peuvent regrouper les informations nécessaires à la prise en charge d’un sinistre, à la facturation et aux échanges avec les assureurs.

L’auteur affirme avoir pu accéder à des centaines de milliers de documents PDF présentés comme des factures certifiées et des dossiers clients.

Une faille IDOR aurait permis de parcourir les documents

La vulnérabilité revendiquée serait une faille de type IDOR, pour Insecure Direct Object Reference. Ce défaut apparaît lorsqu’une application utilise un identifiant prévisible pour afficher un document sans vérifier correctement que l’utilisateur est autorisé à y accéder.

Un attaquant peut alors modifier cet identifiant et automatiser la consultation de nombreux dossiers appartenant à d’autres clients.

L’auteur présente cette faiblesse comme récurrente et affirme qu’elle aurait déjà été signalée par le passé. Cette affirmation reste à vérifier.

Quelles données seraient exposées ?

Les documents revendiqués pourraient contenir une combinaison particulièrement sensible d’informations personnelles, automobiles et financières :

  • nom et prénom ;
  • civilité et date de naissance ;
  • adresse email ;
  • numéro de téléphone ;
  • adresse postale complète ;
  • ville, code postal et pays ;
  • numéro d’immatriculation ;
  • numéro de série du véhicule ou VIN ;
  • marque, modèle, année et kilométrage ;
  • numéro de permis de conduire ;
  • certificat d’immatriculation ;
  • IBAN et références RIB ;
  • montants facturés ;
  • références de sinistre ;
  • informations liées à l’assurance ;
  • signature ;
  • photos et documents justificatifs ;
  • identifiants internes.

Des entreprises également potentiellement concernées

Certains dossiers professionnels pourraient aussi contenir des informations sur les entreprises clientes :

  • raison sociale ;
  • numéro SIRET ;
  • numéro de TVA ;
  • coordonnées professionnelles ;
  • informations de facturation ;
  • coordonnées bancaires.

Ces données peuvent être utilisées pour cibler les services administratifs ou comptables avec de fausses factures et des demandes frauduleuses de changement de RIB.

Un risque élevé d’usurpation d’identité

La réunion, dans un même dossier, d’une identité complète, d’un permis de conduire, d’un certificat d’immatriculation, d’une signature et de coordonnées bancaires représente un risque important.

Ces informations pourraient être utilisées pour constituer de faux dossiers, usurper l’identité d’une personne ou rendre crédibles des tentatives de fraude administrative et financière.

Des fraudes ciblées autour des assurances et des véhicules

Les personnes concernées pourraient recevoir de faux messages faisant référence à un véritable véhicule, une immatriculation, un sinistre ou une réparation récente.

Les scénarios possibles incluent :

  • fausse facture France Pare-Brise ;
  • faux remboursement d’assurance ;
  • fausse demande de franchise ;
  • faux dossier de sinistre à compléter ;
  • fausse demande de permis ou de carte grise ;
  • faux changement de coordonnées bancaires ;
  • usurpation d’un assureur ou d’un expert automobile.

Une revendication encore à confirmer

Des exemples de documents ont été publiés pour appuyer la revendication, mais ils ne permettent pas de confirmer le volume d’environ 100 000 personnes.

L’origine exacte de la fuite, la période couverte et l’éventuelle correction de la vulnérabilité restent inconnues. Aucune confirmation officielle de France Pare-Brise ou des autorités n’a été communiquée à ce stade.

Que doivent surveiller les clients ?

Les clients doivent rester vigilants face aux emails, SMS ou appels évoquant leur véhicule, un remplacement de pare-brise, une facture, un remboursement ou un dossier d’assurance.

Toute demande de paiement, de document d’identité ou de coordonnées bancaires doit être vérifiée directement auprès du centre France Pare-Brise ou de l’assureur concerné via un canal officiel.

Thomas Lazzaroni Thomas Lazzaroni
Articles similaires