Le groupe français Pierre & Vacances-Center Parcs a reconnu avoir été victime d’un incident de sécurité ayant conduit à l’exposition de données personnelles liées à sa plateforme de réservation La France du Nord au Sud. Cette fuite, revendiquée le 15 mai 2026 par le hacker ChimeraZ sur un forum cybercriminel, concernerait plus de 4,5 millions de clients ainsi qu’environ 38 945 résidences et hébergements touristiques.
Le pirate affirme avoir récupéré une base de données au format JSON représentant près de 900 Mo de données. Selon les éléments publiés, plusieurs marques et plateformes du secteur touristique seraient concernées par cette compromission.
Dans une déclaration transmise au Parisien, le groupe évoque précisément 1,6 million de réservations impactées et reconnaît qu’un historique de données pouvant remonter jusqu’à 10 ans aurait été exposé.
Maeva, Pierre & Vacances et Center Parcs figurent parmi les principales marques concernées. Le groupe exploite plus de 300 sites touristiques en France et en Europe à travers différentes filiales spécialisées dans la location saisonnière, les résidences de vacances et les séjours touristiques.
Plusieurs plateformes de réservation concernées
D’après la revendication publiée sur le forum cybercriminel, la fuite ne toucherait pas uniquement le site principal de Maeva, mais plusieurs plateformes liées au groupe et à ses partenaires touristiques.
Les sites mentionnés dans la publication sont notamment :
- maeva.com
- vacansoleil.com
- campings-paradis.com
- leskidunordausud.fr
- lafrancedunordausud.fr
- lespagnedunordausud.fr
Le pirate affirme également que des réservations liées à plusieurs grandes enseignes du tourisme auraient été exposées, notamment Center Parcs, Odalys, Départ 18:25, Pierre & Vacances, Lagrange Vacances, Flower Campings, Adagio, Sandaya, Belambra et Goelia.
Des données de réservation très détaillées
Selon les échantillons consultés par plusieurs médias spécialisés, les données compromises couvriraient plus de deux décennies de réservations touristiques. Les informations visibles dans les fichiers incluent notamment :
- Numéros de dossier de réservation
- Noms et prénoms des occupants
- Dates de naissance
- Numéros de téléphone
- Dates de séjour et historique de réservation
- Logements sélectionnés
- Commentaires liés aux options réservées (TV, climatisation, équipements…)
Le groupe assure en revanche qu’aucune donnée bancaire ni adresse email n’aurait été collectée par les attaquants.
Une vulnérabilité IDOR exploitée pendant plusieurs semaines
D’après les premiers éléments disponibles, l’attaque aurait reposé sur une vulnérabilité de type IDOR (Insecure Direct Object Reference). Ce type de faille permet à un utilisateur authentifié d’accéder à des ressources qui ne devraient normalement pas lui être accessibles en manipulant certains identifiants ou références internes.
Le hacker aurait ainsi utilisé un accès frauduleux à la plateforme de réservation avant d’automatiser l’extraction des données via des techniques de scraping massif. Cette méthode consiste à aspirer automatiquement toutes les informations affichées par le site afin de reconstituer progressivement une base de données complète.
Selon les informations évoquées, l’opération serait restée discrète pendant plusieurs semaines avant d’être détectée.
Des risques importants de phishing et d’arnaques ciblées
Ce type de fuite est particulièrement sensible car les données de réservation permettent de construire des campagnes d’arnaques très crédibles. Les cybercriminels peuvent exploiter des informations réelles liées aux vacances pour se faire passer pour un service client, une résidence touristique ou un organisme de paiement.
Les victimes pourraient ainsi recevoir de faux messages évoquant une réservation, une taxe de séjour, un acompte, une annulation ou une demande urgente de confirmation de paiement. La présence d’éléments précis sur le séjour ou les occupants rend ces tentatives de phishing beaucoup plus convaincantes.
Les données concernant les hébergements et partenaires touristiques peuvent également être utilisées pour cibler des propriétaires, franchisés ou gestionnaires avec de fausses demandes administratives ou financières.
Le groupe a saisi la CNIL et déposé plainte
Le groupe Pierre & Vacances-Center Parcs indique avoir rapidement identifié et corrigé la faille de sécurité à l’origine de l’incident.
Dans sa communication, l’entreprise précise que des « mesures techniques et correctives » ont été immédiatement déployées afin de sécuriser les systèmes concernés et d’éviter toute nouvelle compromission.
Comme l’impose la réglementation européenne, une notification a été transmise à la CNIL et une plainte contre X a été déposée auprès des autorités compétentes. Les clients concernés doivent également être informés individuellement des risques potentiels liés à l’exploitation de leurs données personnelles.
Le tourisme reste une cible privilégiée des cybercriminels
Le secteur du tourisme et de l’hébergement figure parmi les cibles les plus attractives pour les cybercriminels. Les plateformes de réservation centralisent d’importants volumes de données personnelles, des historiques de déplacement et des informations détaillées sur les habitudes des voyageurs.
La multiplication des partenaires, marques, prestataires techniques et systèmes de réservation rend également ces écosystèmes particulièrement complexes à sécuriser. Une compromission peut parfois provenir d’un portail tiers, d’un outil mutualisé ou d’une simple erreur de contrôle d’accès.
À ce stade, le périmètre exact des données effectivement récupérées et l’ampleur précise de l’exposition restent encore à confirmer publiquement.