Attaque

Nemea Résidences : 84 853 réservations, locataires et garants revendiqués après une faille IDOR

Une nouvelle fuite de données attribuée à residence-nemea.com a été revendiquée sur un forum cybercriminel le 6 juillet 2026. L’auteur affirme publier une base de 84 853 lignes liée aux réservations de logements en résidences Nemea, avec des informations détaillées sur les locataires, leurs garants, les logements demandés et certains éléments financiers.

La revendication vise le groupe Nemea ou l’un de ses portails de résidence. Selon les éléments publiés, les données proviendraient du domaine residence-nemea.com. À ce stade, cette fuite reste une revendication non confirmée officiellement.

Nemea cyberattaque

Nemea de nouveau cité dans une revendication

La publication est signée par les acteurs misere et ChimeraZ. L’auteur affirme qu’il s’agirait d’une deuxième attaque visant Nemea Group, sans fournir dans l’extrait d’éléments permettant de confirmer publiquement le lien avec un précédent incident.

La base publiée est présentée sous le nom 84K_reservations.ndjson. Elle serait au format NDJSON, un format structuré où chaque ligne correspond à un objet de données. Le fichier contiendrait 84 853 lignes, ce qui suggère une extraction massive de dossiers de réservation ou de demandes de logement.

Une faille IDOR revendiquée

L’auteur indique que la vulnérabilité exploitée serait une IDOR, pour Insecure Direct Object Reference. Ce type de faille survient lorsqu’une application permet d’accéder à des ressources en modifiant simplement un identifiant, sans vérifier correctement les droits de l’utilisateur.

Dans un scénario de ce type, un attaquant peut parfois consulter des dossiers successifs en testant des identifiants numériques ou prévisibles. Si l’application ne contrôle pas que l’utilisateur est bien autorisé à voir chaque fiche, une simple erreur de contrôle d’accès peut permettre une extraction à grande échelle.

Si le scénario revendiqué est exact, il ne s’agirait donc pas nécessairement d’une compromission complète du serveur, mais d’une faiblesse applicative permettant d’accéder à des réservations qui auraient dû rester privées.

84 853 réservations potentiellement exposées

Le volume annoncé est important : 84 853 lignes. Ce chiffre ne correspond pas forcément au nombre exact de personnes uniques concernées. Une même personne peut avoir plusieurs dossiers, un logement peut contenir plusieurs lignes et un garant peut être lié à plusieurs demandes.

En revanche, les échantillons publiés montrent que chaque réservation peut contenir un niveau de détail élevé. Les données ne se limitent pas à un nom et une adresse email : elles associent un logement, une résidence, un statut de dossier, un locataire, un garant et des informations personnelles ou financières.

Des résidences et logements identifiables

Les exemples diffusés mentionnent notamment des résidences comme Résidence Créteil Campus ou Résidence Nanterre Campus. Les fiches indiquent aussi le type de logement demandé ou occupé, par exemple un T1 ou un T1 BIS, avec la surface associée.

Les champs observés autour du logement peuvent inclure :

  • identifiant de réservation ;
  • nom de la résidence ;
  • type de logement ;
  • surface ;
  • état du dossier ;
  • date de début ;
  • date de fin ;
  • numéro de logement lorsque renseigné ;
  • nombre de pièces ;
  • montant du loyer ;
  • dépôt de garantie ;
  • frais de dossier ;
  • forfait énergie ;
  • loyer total.

Certains champs financiers semblent vides ou mal renseignés dans les exemples publiés, mais leur présence dans la structure de données montre que le fichier est lié à un système de gestion locative ou de réservation de logements.

Des données personnelles de locataires exposées

Les fiches de locataires contiennent plusieurs informations sensibles. Les exemples montrent des données d’identité, de contact, d’adresse et de situation personnelle.

Les données locataires peuvent comprendre :

  • nom et prénom ;
  • adresse email ;
  • numéro de téléphone ;
  • date de naissance ;
  • ville de naissance ;
  • adresse postale complète ;
  • situation familiale ;
  • niveau d’études ;
  • revenus mensuels ;
  • présence ou non d’un garant ;
  • résidence demandée ou occupée ;
  • dates liées au dossier de réservation.

La présence du niveau d’études et de revenus mensuels est particulièrement sensible. Elle suggère que la base peut contenir des informations utilisées pour évaluer un dossier de location ou vérifier l’éligibilité d’un candidat à un logement.

Des garants également concernés

La fuite revendiquée ne toucherait pas uniquement les locataires. Les échantillons montrent aussi des fiches de garants, avec leurs coordonnées et leur relation avec le locataire.

Les données des garants peuvent inclure :

  • nom et prénom ;
  • adresse email ;
  • numéro de téléphone ;
  • adresse postale ;
  • situation familiale ;
  • nature du lien avec le locataire ;
  • revenus mensuels ;
  • profession ;
  • date ou ville de naissance lorsque le champ est renseigné.

Cette dimension rend l’incident plus grave : une seule réservation peut exposer deux personnes ou plus, avec un lien familial ou administratif entre elles. Dans les exemples publiés, les garants peuvent être des membres de la famille, avec des informations financières et professionnelles associées.

Des revenus et situations personnelles dans les dossiers

Le point le plus sensible concerne la présence de revenus mensuels, de situations familiales et de professions. Ces données vont au-delà d’une simple fiche de contact. Elles touchent à la situation économique et personnelle des candidats et de leurs garants.

Pour un cybercriminel, ces informations peuvent être utilisées pour trier les victimes, identifier des profils financièrement fragiles, cibler des étudiants, contacter des garants ou construire des messages frauduleux très personnalisés autour d’un dossier de logement.

Une base qui semble issue d’un outil de réservation ou de gestion locative

La structure des données indique une origine métier plausible. Les champs sont organisés autour d’un dossier de réservation, d’un logement, d’un locataire et d’un garant. Ce format correspond davantage à une extraction d’un outil applicatif qu’à un fichier constitué manuellement.

Certains champs semblent toutefois mal formatés dans les exemples, avec des informations fusionnées dans des zones qui ne correspondent pas toujours à leur libellé. Cela peut être le signe d’un export imparfait, d’un scraping automatisé, d’un parsing incomplet ou d’une application qui stocke certaines données de manière peu structurée.

Pourquoi l’IDOR est une faille aussi dangereuse

Les failles IDOR sont particulièrement dangereuses dans les portails clients, espaces locataires, extranets ou outils de réservation. Elles ne nécessitent pas toujours de contourner un mot de passe ou de casser un chiffrement. Le problème vient souvent d’un contrôle d’autorisation insuffisant.

Par exemple, si une URL ou une API affiche un dossier à partir d’un identifiant, l’application doit vérifier que l’utilisateur connecté a bien le droit de consulter ce dossier. Si cette vérification est absente ou incomplète, un attaquant peut tenter d’accéder à d’autres dossiers en changeant simplement l’identifiant.

Dans le cas revendiqué, l’auteur affirme que cette faiblesse aurait permis l’extraction de dizaines de milliers de réservations. Cela souligne l’importance de tester systématiquement les contrôles d’accès sur toutes les ressources, y compris celles qui semblent secondaires.

Des risques élevés pour les locataires

Les locataires ou candidats à la location peuvent être exposés à plusieurs risques. Le plus probable est le phishing ciblé : un attaquant peut envoyer un email ou un SMS en se faisant passer pour Nemea, une résidence, un service de gestion locative ou un organisme de paiement.

Avec le nom de la résidence, le type de logement, la date de début, l’adresse, le revenu ou la présence d’un garant, un message frauduleux peut devenir très crédible. Il peut demander une régularisation, un dépôt de garantie, une mise à jour de dossier, un justificatif ou un paiement urgent.

Les personnes concernées doivent se méfier des messages évoquant un logement, un loyer, un garant, un dépôt de garantie, une réservation ou une mise à jour de dossier, surtout lorsqu’un lien ou une pièce jointe est fourni.

Des risques aussi pour les garants

Les garants peuvent eux aussi être ciblés. Un cybercriminel peut les contacter en prétendant qu’un dossier de location est incomplet, qu’un paiement est en attente ou qu’un justificatif doit être renvoyé. La présence du lien entre garant et locataire renforce fortement la crédibilité de ce type de scénario.

Les revenus, la profession et l’adresse du garant peuvent également être utilisés pour de l’usurpation d’identité, du démarchage frauduleux ou des tentatives d’obtention de documents complémentaires comme des avis d’imposition, bulletins de salaire ou pièces d’identité.

Un risque d’escroquerie au faux logement

Dans le secteur du logement, les arnaques sont fréquentes : faux bail, faux dépôt de garantie, faux gestionnaire, fausse régularisation, faux remboursement ou demande de pièces justificatives. Une base contenant de vraies réservations peut permettre de rendre ces fraudes beaucoup plus convaincantes.

Un attaquant pourrait par exemple mentionner une résidence réelle, un type de logement exact, une date de début ou le nom d’un garant pour convaincre la victime d’effectuer un paiement ou d’envoyer des documents sensibles.

Une seconde attaque revendiquée contre Nemea

L’auteur affirme qu’il s’agit de la deuxième attaque visant Nemea Group. Cette affirmation doit être prise avec prudence tant qu’elle n’est pas confirmée officiellement, mais elle ajoute un élément important au dossier : les cybercriminels présentent Nemea comme une cible déjà touchée auparavant.

Si plusieurs incidents ont effectivement visé le même groupe ou ses portails, cela poserait la question de la correction des failles, de la revue des accès, de la surveillance des journaux et de la sécurisation des applications exposées.

Une fuite à confirmer officiellement

À ce stade, les chiffres et le scénario technique proviennent de la revendication cybercriminelle. Le nombre exact de personnes uniques concernées, la période couverte par les réservations, l’origine technique de l’extraction et le périmètre réel des données doivent être confirmés par une analyse officielle.

Le volume de 84 853 lignes ne doit donc pas être interprété automatiquement comme 84 853 victimes uniques. En revanche, les exemples publiés montrent une base suffisamment détaillée pour présenter un risque important pour les locataires, candidats et garants dont les informations figureraient dans le fichier.

Que doivent surveiller les personnes concernées ?

Les personnes ayant effectué une demande ou réservation auprès d’une résidence Nemea doivent se montrer vigilantes face aux emails, SMS ou appels mentionnant leur logement, leur garant, leur dossier, leur loyer, un dépôt de garantie ou une régularisation.

Toute demande de paiement, de RIB, de pièce d’identité, de justificatif de revenus, d’avis d’imposition ou de bulletin de salaire doit être vérifiée par un canal officiel déjà connu. Il ne faut pas se fier uniquement au fait qu’un message contient des informations exactes sur le logement ou le dossier.

Une alerte sérieuse pour les plateformes de logement

Cette revendication rappelle la sensibilité des plateformes de logement et de réservation. Ces services concentrent des données très complètes : identité, adresse, revenus, situation familiale, études, profession, garants, résidence, dates de séjour et éléments financiers.

Une faille de contrôle d’accès, même simple, peut donc avoir des conséquences lourdes. Lorsqu’une application expose des dossiers de location, chaque identifiant consultable sans autorisation correcte peut devenir une porte d’entrée vers des données personnelles et financières particulièrement sensibles.

Thomas Lazzaroni Thomas Lazzaroni
Articles similaires