3 min de lecture
Pierre et Vacances, Gîtes de France, Belambra... Les fuites de données dans le secteur du tourisme vont-elles gâcher votre été ?
Les cyberattaques visant les acteurs du tourisme se sont multipliées ces derniers jours, exposant les données de plusieurs millions de clients, désormais plus vulnérables aux tentatives d’escroquerie.
Une personne sur un transat en vacances (illustration)
Crédit : Baona de Getty Images Signature
Je m'abonne à la newsletter « Infos »
À quelques semaines des grands départs estivaux, une vague de cyberattaques frappe plusieurs acteurs majeurs du tourisme français. En l’espace de quelques jours, Pierre & Vacances-Center Parcs, Belambra et Gîtes de France ont confirmé des fuites massives de données impliquant plusieurs millions de clients au total.
Les informations dérobées sont loin d’être anodines. Chez Pierre & Vacances-Center Parcs, le groupe évoque 1,6 million de réservations potentiellement concernées sur une période remontant jusqu’à dix ans. Les pirates ont mis la main sur des noms, numéros de téléphone, dates de naissance, numéros de réservation, lieux et dates de séjour.
Chez Belambra, plus de 41.000 réservations détaillées auraient été compromises, ainsi que des données liées à des centaines de milliers d’enfants enregistrés dans les dossiers clients. Côté Gîtes de France, près de 389.000 personnes seraient touchées, avec des informations comprenant adresses postales, numéros de téléphone, e-mails et détails de réservation.
Quels risques pour les vacanciers ?
Aucune donnée bancaire n’aurait été dérobée, assurent les groupes concernés. Mais pour les experts en cybersécurité, le véritable danger est ailleurs. "Les entreprises de tourisme sont des cibles "alléchantes car elles contiennent beaucoup d'informations personnelles", a expliqué à l'AFP Arnaud Lemaire, expert en cybersécurité au sein du cabinet F5.
Les cybercriminels cherchent à obtenir "des profils de vie: qui vous êtes, où vous allez, quand votre logement sera vide. Un dossier de réservation familiale concentre tout cela en un seul endroit, ce qui en fait une marchandise très prisée sur les marchés clandestins", a-t-il ajouté.
Ces renseignements permettent de monter des escroqueries d’une crédibilité redoutable. Forts de ces éléments, qu'ils peuvent enrichir avec des informations issues d'autres fuites de données, les cybercriminels vont pouvoir contacter directement des vacanciers en se faisant passer pour leur résidence, leur plateforme de réservation ou même une compagnie aérienne.
Les escrocs vont pouvoir évoquer un “problème de paiement” par SMS, proposer un “surclassement exceptionnel” par téléphone, ou inviter leur cible à confirmer leur séjour par mail, afin de les pousser à livrer des données bancaires, dans des approches à la crédibilité renforcée par la présentation des dates exactes du voyage, du nom des occupants et de la destination réservée.
Ces données permettent d'identifier des logements inoccupés cet été
Mais l’inquiétude dépasse le seul cadre du phishing. Avec les adresses postales associées aux dates de séjour, ces bases de données permettent aussi d’identifier précisément quand des dizaines voire des centaines de milliers de logements seront inoccupés cet été. Pour les experts, cette vague de fuites va permettre aux escrocs d'établir un véritable calendrier des domiciles vides pendant les vacances.
Le scénario n’a rien de théorique. Les derniers mois ont consacré une évolution du cybercrime : les données numériques peuvent désormais servir à organiser des atteintes réelles aux biens des et aux personnes.
Après le piratage de la Fédération française de tir en 2025, des dizaines de cambriolages ciblés ont été directement reliés aux données dérobées. Des armes avaient notamment été volées lors d’opérations préparées grâce aux informations issues de la fuite. Des dizaines de kidnappings et tentatives de home-jacking ont également visé des détenteurs de cryptomonnaies en France ces derniers mois, repérés puis ciblés à partir d’informations personnelles récupérées en ligne.
Comment se protéger
À l’approche des vacances d’été, ces cyberattaques appellent à la vigilance. Premier réflexe : ne jamais communiquer ses coordonnées bancaires après un appel entrant, même si l’interlocuteur connaît parfaitement votre réservation. En cas de doute, il est conseillé de raccrocher et rappeler soi-même l’établissement concerné. Pendant l’absence, il est conseillé de faire surveiller son logement par un proche ou de s’inscrire à l’Opération Tranquillité Vacances auprès de la gendarmerie ou de la police.
Pour réduire les risques, il est aussi recommandé de renforcer la sécurité de ses comptes les plus sensibles, en particulier sa messagerie électronique et ses services bancaires, avec une double authentification, de préférence via une application dédiée. Autre précaution utile : réserver ses véritables coordonnées aux services indispensables et utiliser un alias pour les démarches secondaires.
Retrouvez "La règle d'or numérique" tous les samedi à 6h53 dans "RTL Matin Week-end" présenté par Stéphane Carpentier. Comment naviguer en toute sécurité sur Internet ? Quels sont les réglages à paramétrer pour protéger vos données personnelles ? Comment repérer les arnaques en ligne avant de tomber dans le panneau… Benjamin Hue, journaliste spécialiste des nouvelles technologies, répond ici aux questions que vous vous posez sur le numérique et votre quotidien en ligne.
- Un hôtel ou un camping a-t-il le droit de faire une copie de mon passeport ou de ma carte d'identité ?
- Alerte sur Booking.com : attention à l'arnaque à la réservation détournée, voici comment ne pas vous faire piéger
- Restaurants, stationnement, livraison... Comment repérer et déjouer les QR codes piégés ?
- Fuite de données à l'ANTS : 11,7 millions de Français concernés, que peuvent faire les pirates avec vos données volées ?
- Leroy Merlin, France Travail, Urssaf, MédecinDirect... Face à la vague des fuites de données, comment résister à l'explosion des arnaques
