Une importante fuite de données attribuée à Pacha Tours, tour-opérateur français spécialisé notamment dans les séjours Hajj, les voyages organisés et les vacances en Tunisie, a été revendiquée sur un forum cybercriminel le 30 juin 2026. L’auteur de la publication affirme avoir extrait l’intégralité d’une base liée aux domaines pachatours.fr et pachatours.pro.
Selon la revendication, l’archive représenterait environ 2 Go de données, plus de 2,2 millions de lignes et concernerait 31 087 personnes uniques. Le corpus comprendrait également 4 413 adresses email uniques, 3 705 numéros de téléphone uniques, 132 numéros de passeport en clair, 10 153 codes PNR, 1 096 accès B2B avec mots de passe en clair et 819 emails de première connexion.

Pacha Tours visé par une revendication massive
La revendication est signée par l’acteur misere, qui indique avoir mené l’opération avec ChimeraZ et NightBroker. L’auteur présente Pacha Tours comme une cible compromise via son portail web et son espace professionnel, utilisé notamment par des agences de voyage partenaires.
Les données publiées sont décrites comme provenant d’une base métier complète, avec des informations clients, passagers, dossiers de voyage, billets, paiements, écritures comptables, catalogue produits, disponibilités, tarifs et emails automatisés. À ce stade, cette fuite reste une revendication non confirmée officiellement, mais les éléments techniques et les échantillons fournis décrivent un corpus très structuré.
Une faille d’injection SQL revendiquée
L’auteur affirme avoir exploité une injection SQL aveugle sur le paramètre codeproduit de la page print-programme.php, sans authentification préalable. Il indique également l’absence de WAF et de limitation de débit, ce qui aurait facilité l’extraction progressive des données.
La revendication mentionne ensuite un chaînage avec une autre faiblesse sur hotel.php, permettant de récupérer plusieurs lignes de données via une table de staging persistante. Si ce scénario est exact, il ne s’agit pas d’un simple accès à des fichiers exposés, mais d’une exploitation applicative ayant permis d’interroger directement la base.
Un serveur Windows exposé et une configuration fragile
Les informations techniques publiées décrivent un environnement reposant sur Windows Server 2022, IIS 10.0 et PHP 7.1. L’auteur cite également un serveur identifié comme NS3219802, l’adresse IP 162.19.30.141 et indique que le serveur web et la base de données seraient hébergés sur la même machine physique.
La revendication affirme aussi que PHP s’exécuterait avec un compte disposant de privilèges administrateur local et qu’un ancien serveur FileZilla Server 0.9.60 beta serait présent sur le port 21. Ces éléments, s’ils sont exacts, décrivent une surface d’attaque particulièrement risquée pour une application manipulant des données de voyage, des documents d’identité et des informations de paiement.
31 087 personnes et des données de voyage exposées
Le volume revendiqué est important. L’auteur affirme avoir identifié 31 087 personnes uniques, avec des données personnelles issues de dossiers passagers et de réservations. Les exemples publiés montrent des champs liés à l’identité des voyageurs, à leur nationalité, à leur sexe, à leurs documents de voyage et à leurs dossiers de réservation.
Les données concernant les passagers peuvent inclure :
- nom ;
- prénom ;
- civilité ;
- nationalité ;
- sexe ;
- numéro de document ou de passeport ;
- date de validité du document ;
- numéro de dossier de voyage ;
- informations de réservation ;
- données liées aux vols et billets.
La présence revendiquée de 132 numéros de passeport en clair rend cette fuite particulièrement sensible. Même si ce volume reste limité au regard du nombre total de personnes citées, ces informations peuvent être exploitées dans des scénarios d’usurpation d’identité ou de fraude documentaire.
Plus de 10 000 codes PNR revendiqués
L’un des points les plus sensibles concerne les 10 153 codes PNR annoncés dans la revendication. Ces codes de réservation peuvent être associés à des billets, des vols, des passagers, des dates de départ, des compagnies aériennes, des montants et des taxes.
Dans les exemples diffusés, les lignes liées aux billets mentionnent notamment le fournisseur, la compagnie aérienne, le nom du passager, le code PNR, la date de départ, le montant brut et les taxes. Ce type d’information peut permettre de reconstituer l’historique de certains voyages ou de cibler des personnes avec des messages frauduleux très crédibles.
Des agences de voyage B2B avec mots de passe en clair
La revendication indique que le portail professionnel de Pacha Tours était destiné à 5 115 agences de voyage. L’auteur affirme toutefois que le système serait inutilisable depuis des années en raison d’un champ d’accès vide pour chaque client.
Plus grave, la base contiendrait 1 096 identifiants B2B avec mots de passe en clair. Les échantillons publiés montrent des agences associées à un identifiant de connexion et à un champ de mot de passe non chiffré. L’exposition de ces accès peut ouvrir la voie à des connexions non autorisées, surtout si les mêmes mots de passe ont été réutilisés sur d’autres services professionnels.
L’auteur affirme également que des emails de première connexion étaient envoyés à des clients B2B depuis une adresse liée au domaine pacha-rev.fr, via smtp.office365.com, avec des identifiants stockés en clair dans une file d’envoi. La revendication mentionne 819 emails de première connexion et des messages de récupération de mot de passe.
Des paiements, écritures comptables et données commerciales
Le corpus revendiqué ne se limite pas aux voyageurs. Il comprendrait également des éléments de paiement et de comptabilité, avec 318 transactions de paiement et plus de 349 000 écritures comptables. Les exemples publiés mentionnent des commandes, dossiers, montants, dates, autorisations de paiement, adresses IP et types de cartes, notamment VISA ou CB.
Les données financières exposées peuvent inclure :
- références de commande ;
- numéros de dossier ;
- montants ;
- dates de paiement ;
- codes d’autorisation ;
- adresses IP ;
- type de carte ;
- écritures comptables ;
- références commerciales internes.
Les extraits disponibles ne permettent pas d’affirmer que des numéros complets de cartes bancaires sont présents. En revanche, les métadonnées de paiement et les références de dossiers peuvent être réutilisées dans des fraudes ou des campagnes de phishing visant les clients et les agences.
Un catalogue complet de voyages et de tarifs
La base revendiquée contiendrait aussi le catalogue complet des produits, voyages, départs, prix et disponibilités. Les exemples montrent des codes produits, libellés de circuits, durées, zones géographiques, dates de départ, dates de retour, compagnies aériennes, statuts et informations tarifaires.
Ces informations peuvent présenter un risque commercial important. Elles peuvent révéler une partie de l’organisation interne de l’offre, des marges, des circuits, des partenaires, des disponibilités ou de la structure tarifaire utilisée par le tour-opérateur.
Quelles données sont concernées ?
D’après la revendication et les échantillons publiés, les données potentiellement concernées comprennent notamment :
- noms et prénoms de voyageurs ;
- civilités ;
- nationalités ;
- sexe ;
- numéros de passeport ou documents de voyage ;
- dates de validité de documents ;
- numéros de dossiers ;
- codes PNR ;
- informations de billets d’avion ;
- dates de départ et de retour ;
- emails ;
- numéros de téléphone ;
- adresses de clients ou agences ;
- SIRET ;
- identifiants B2B ;
- mots de passe en clair ;
- emails de première connexion ;
- transactions de paiement ;
- adresses IP ;
- écritures comptables ;
- catalogue produits ;
- tarifs et disponibilités.
Un risque élevé pour les voyageurs
Pour les voyageurs, le risque principal concerne le phishing ciblé, l’usurpation d’identité et les escroqueries liées à de fausses réservations. Avec un nom, un dossier de voyage, un PNR, une date de départ ou une destination, un attaquant peut produire un message frauduleux extrêmement crédible.
La présence de numéros de passeport en clair augmente encore la gravité. Ces informations peuvent être utilisées pour alimenter des dossiers frauduleux, enrichir d’autres bases ou faciliter des tentatives d’usurpation auprès de services liés au voyage.
Un risque opérationnel pour les agences partenaires
Les agences B2B citées dans la base sont également exposées. La présence d’identifiants et de mots de passe en clair peut permettre des tentatives de connexion non autorisées, mais aussi des attaques par réutilisation de mots de passe sur d’autres plateformes.
Les agences concernées peuvent également être ciblées par des campagnes de fraude à la facture, de fausses demandes de règlement, de fausses confirmations de réservation ou de messages imitant Pacha Tours. Les données issues du catalogue, des dossiers et des emails automatisés peuvent rendre ces attaques beaucoup plus difficiles à détecter.
Une compromission directe non confirmée officiellement
À ce stade, cette affaire repose sur une revendication cybercriminelle. Les informations publiées décrivent une exploitation technique détaillée et un volume important de données, mais aucune confirmation officielle ne permet encore d’établir publiquement l’ampleur réelle de l’incident ni le périmètre exact de la compromission.
Si les éléments revendiqués sont exacts, l’incident serait particulièrement critique en raison de la combinaison de données personnelles, documents de voyage, codes PNR, mots de passe en clair, données de paiement, écritures comptables et informations commerciales internes.
Que doivent faire les personnes concernées ?
Les clients ayant réservé un voyage via Pacha Tours ou une agence partenaire doivent se montrer particulièrement vigilants face aux emails, SMS ou appels évoquant un dossier, un paiement, un billet, un remboursement, un passeport ou une modification de voyage.
Les agences partenaires doivent vérifier leurs accès, changer les mots de passe potentiellement réutilisés, surveiller les connexions suspectes et sensibiliser leurs équipes aux fraudes liées aux réservations. Les mots de passe exposés en clair doivent être considérés comme compromis, même si l’accès initial au portail B2B n’est plus fonctionnel.
Cette revendication illustre une fois de plus la gravité des failles applicatives anciennes et des mots de passe stockés en clair. Dans le secteur du voyage, une base compromise ne révèle pas seulement des coordonnées : elle peut exposer des déplacements, des documents d’identité, des relations commerciales et des informations de paiement exploitables pendant plusieurs années.