Une importante fuite de données attribuée à Henley France a été publiée sur un forum cybercriminel. L’auteur de la revendication affirme avoir mis en ligne plusieurs gigaoctets de données internes provenant de l’éditeur français de solutions numériques destinées aux CSE, CE et plateformes d’avantages salariés.
Selon les analyses réalisées sur les fichiers, la fuite comprend environ 176 991 fichiers représentant près de 3 Go de données. Contrairement à une simple base de clients, il s’agirait principalement d’un export technique contenant du code source, des dépôts applicatifs et de nombreux secrets de configuration.

Du code source et des secrets techniques exposés
Les fichiers analysés montrent la présence de plusieurs dépôts de développement utilisés par Henley. Les données revendiquées comprendraient notamment :
- code source des applications ;
- fichiers d’environnement (.env) ;
- clés privées ;
- secrets techniques et identifiants de services ;
- configurations de bases de données ;
- scripts de déploiement et de maintenance.
Ce type de fuite est particulièrement sensible, car il peut permettre à un attaquant de comprendre le fonctionnement interne des applications, d’identifier d’éventuelles vulnérabilités ou d’accéder à d’autres systèmes lorsque certains secrets sont encore valides.
Des données personnelles retrouvées dans les environnements de production
Au-delà des éléments techniques, on retrouve la présence de nombreuses données issues d’environnements de production. Environ 6 269 adresses e-mail nominatives uniques auraient été identifiées, dont plus de 4 600 suivant le format prénom.nom.
Les données observées ou modélisées dans les différents dépôts peuvent inclure :
- noms et prénoms ;
- adresses e-mail ;
- matricules salariés ;
- dates de naissance ;
- numéros de téléphone ;
- adresses postales ;
- IBAN et BIC ;
- données de paiement ;
- justificatifs ;
- données d’ayants droit et d’enfants ;
- quelques occurrences de numéros de sécurité sociale (NIR).
Près de 180 environnements clients identifiés
Le dump permet également de cartographier environ 178 bases de données ou environnements correspondant à des comités sociaux et économiques, comités d’entreprise ou organisations clientes utilisant les solutions de Henley.
Parmi les organisations dont le nom apparaît dans les fichiers figurent notamment Hermès, PwC, Atos, Safran, France Travail Occitanie, Groupama, HSBC, Air Liquide, STMicroelectronics, Thales, L’Oréal, Picard Surgelés, Ingenico, Xerox, Kiloutou, Korian, les CAF de Paris et d’Ille-et-Vilaine, Hilti, Crédit Agricole Payment Services ainsi que de nombreuses autres structures.
La présence de ces noms ne signifie toutefois pas que l’ensemble des salariés ou bénéficiaires de ces organisations soient concernés. À ce stade, ils correspondent principalement à des environnements ou espaces clients identifiés dans les fichiers divulgués.
Pourquoi cette fuite est particulièrement sensible ?
Les plateformes de gestion des CSE manipulent des informations particulièrement riches : identité des salariés, composition familiale, avantages sociaux, remboursements, aides, moyens de paiement et parfois justificatifs administratifs. Lorsqu’un code source est exposé avec les environnements de production, les risques dépassent largement la simple divulgation de données personnelles.
Des secrets techniques encore actifs pourraient faciliter des accès non autorisés, tandis que les données nominatives peuvent servir à des campagnes de phishing très ciblées contre les salariés, les élus de CSE ou les administrateurs des plateformes.
Une revendication toujours en cours
Au moment de la publication, les cybercriminels indiquent diffuser librement une première partie des données. Le volume annoncé est d’environ 176 991 fichiers représentant près de 3 Go de contenu technique. L’étendue exacte des informations exploitables ainsi que l’impact réel pour les organisations citées restent à confirmer.