Attaque

Moove : passeports et pièces d’identité de passagers en fuite après une cyberattaque

Une fuite de données attribuée à FlyMoove, plateforme française spécialisée dans l’aviation d’affaires et la mobilité aérienne régionale, a été revendiquée sur un forum cybercriminel le 9 juillet 2026.

L’auteur affirme détenir une base partielle contenant des informations sur des utilisateurs et des passagers, avec des données d’identité, coordonnées, dates de naissance et documents de voyage. Des numéros de passeport, des numéros de carte d’identité et des références vers des copies de documents apparaissent dans les échantillons publiés.

Le nombre total de personnes concernées n’est pas précisé. À ce stade, cette fuite reste une revendication non confirmée officiellement.

Moove cyberattaque

FlyMoove visé par une fuite de données de passagers

FlyMoove se présente comme une plateforme technologique et une marketplace SaaS dédiée à l’aviation d’affaires. Son environnement peut regrouper des passagers, clients, pilotes, opérateurs et partenaires intervenant dans l’organisation de déplacements aériens.

Les données publiées semblent provenir de plusieurs ensembles liés : comptes utilisateurs, profils de passagers et documents de voyage. La structure des exemples évoque une extraction depuis une application métier ou une API, mais la méthode d’accès n’est pas détaillée.

Noms, emails et téléphones dans les comptes utilisateurs

Les fiches utilisateurs revendiquées peuvent contenir plusieurs informations personnelles et techniques :

  • nom et prénom ;
  • adresse email ;
  • numéro de téléphone ;
  • langue du compte ;
  • entreprise renseignée ;
  • type d’utilisateur ;
  • identifiant de passager ;
  • date de création du compte ;
  • date de dernière connexion ;
  • fournisseur de connexion SSO ;
  • statut du compte ;
  • rôles liés à un opérateur, pilote ou client.

Les exemples montrent des connexions via différents fournisseurs, notamment Google, Apple ou des systèmes d’authentification d’entreprise. Aucun mot de passe exploitable n’apparaît dans les échantillons publiés, les champs correspondants étant vides.

preuve cyberattaque

Des profils de passagers beaucoup plus sensibles

Les fiches de passagers contiennent des informations plus détaillées, parfois nécessaires à l’organisation d’un voyage ou au respect des obligations aériennes.

  • nom et prénom d’usage ;
  • nom et prénom légaux ;
  • date de naissance ;
  • sexe lorsque renseigné ;
  • adresse email ;
  • numéro de téléphone ;
  • groupe de passagers ;
  • type de passager ;
  • opérateur ayant créé la fiche ;
  • références de missions ou de déplacements dans certains dossiers.

La présence de noms légaux, dates de naissance et coordonnées permet de constituer des profils d’identité particulièrement complets, même lorsqu’aucun document de voyage n’est associé à la fiche.

Des passeports et cartes d’identité dans la base

Le point le plus critique concerne les documents de voyage. Les exemples publiés montrent des fiches contenant :

  • type de document ;
  • numéro de passeport ou de carte d’identité ;
  • pays de délivrance ;
  • date d’expiration ;
  • lieu de naissance ;
  • identifiant du document ;
  • date de création et de mise à jour ;
  • référence vers une image ou un fichier du document dans certains cas.

Certains enregistrements contiennent un nom de fichier associé au document, au format image ou PDF. La revendication affirme également détenir des copies de cartes d’identité et de passeports, mais le nombre exact de documents récupérés n’est pas communiqué.

Une extraction interrompue avant son terme

L’auteur affirme que l’extraction des documents d’identité a été interrompue après avoir été détectée. Il présente donc la base comme partielle, en particulier pour les cartes d’identité et passeports.

Cette affirmation ne permet pas de connaître le volume total de comptes accessibles ni le nombre réel de documents récupérés. Elle pourrait toutefois indiquer que l’incident a été repéré pendant l’extraction et qu’une partie des accès a été bloquée.

Une fuite au périmètre international

Les échantillons publiés concernent des personnes utilisant des adresses et numéros de téléphone de plusieurs pays. La base ne semble donc pas limitée aux utilisateurs français.

FlyMoove étant utilisé dans le secteur de l’aviation d’affaires, certaines fiches peuvent concerner des voyageurs internationaux, des salariés d’entreprises, des dirigeants, des opérateurs ou des clients professionnels.

Des risques élevés d’usurpation d’identité

La combinaison d’un nom légal, d’une date de naissance, d’un numéro de téléphone et d’un document d’identité représente un risque important d’usurpation d’identité.

Ces données peuvent être utilisées pour constituer de faux dossiers, contourner certaines procédures de vérification, ouvrir des comptes frauduleux ou mener des tentatives d’escroquerie très personnalisées.

Une copie de passeport ou de carte d’identité est particulièrement sensible, car elle ne peut pas être remplacée aussi simplement qu’un mot de passe. Même après le renouvellement du document, les anciennes informations peuvent continuer à circuler et être utilisées pour crédibiliser de fausses démarches.

Des campagnes de phishing liées aux voyages

Les personnes concernées pourraient recevoir de faux messages évoquant un vol, une mission, une réservation, une vérification de passeport ou une mise à jour obligatoire de leurs informations de voyage.

Un attaquant disposant du nom, du téléphone, de la date de naissance et du type de document d’un passager peut créer un message très crédible prétendant provenir de FlyMoove, d’un opérateur aérien, d’un terminal d’aviation d’affaires ou d’un service de contrôle d’identité.

Les entreprises et opérateurs également exposés

Certains comptes sont associés à des entreprises ou à des rôles d’opérateur. Les données peuvent donc être exploitées pour cibler des organisations utilisant la plateforme, notamment via de faux messages liés à une mission, une réservation ou un compte professionnel.

Dans le secteur de l’aviation d’affaires, la connaissance d’un voyageur, d’un opérateur ou d’une mission peut également faciliter des attaques d’ingénierie sociale contre les assistants, services voyages ou équipes administratives.

Une fuite à confirmer officiellement

Le volume total de la base, le nombre de personnes uniques concernées et l’origine technique de l’extraction ne sont pas précisés. Les données publiées peuvent également inclure des profils anciens, supprimés, incomplets ou issus de plusieurs opérateurs.

Si la revendication est confirmée, l’incident serait particulièrement sensible en raison de la présence potentielle de passeports, de cartes d’identité, de dates de naissance et d’informations liées aux déplacements de passagers.

Que doivent surveiller les utilisateurs ?

Les utilisateurs et passagers doivent se montrer vigilants face aux demandes de vérification d’identité, aux messages évoquant un document expiré, une réservation, une mission aérienne ou une mise à jour urgente de passeport.

Toute demande de nouvelle pièce d’identité, de paiement ou de connexion doit être vérifiée directement auprès de FlyMoove ou de l’opérateur concerné, en utilisant un canal officiel déjà connu.

Thomas Lazzaroni Thomas Lazzaroni
Articles similaires