Le réseau d’hébergements Gîtes de France a confirmé, dimanche 17 mai, avoir lui aussi subi samedi un vol de données. Les informations concernant plus de 389 000 clients auraient été divulguées, selon le site de recension des fuites en ligne French Breaches, qui a révélé la cyberattaque. « Un incident de sécurité [a] entraîné un accès frauduleux à certaines données relatives aux dossiers de réservation » des clients, a annoncé Gîtes de France dans un communiqué.
Il s’agit du troisième acteur du tourisme en France en trois jours à communiquer sur une cyberattaque, après le groupe Pierre et Vacances-Center Parcs vendredi et Belambra samedi. Le même hackeur est à l’origine des trois vols de données, a affirmé à l’Agence France-Presse le fondateur de French Breaches, qui a échangé avec lui sur une messagerie sécurisée. « Il m’a dit avoir agi pour gagner en visibilité et montrer à quel point la France est une passoire en matière de cybersécurité », a ajouté le créateur du site.
Le pirate a revendiqué avoir dérobé des données de réservations de Gîtes de France s’étalant sur plus de trente ans, de 1995 à 2026. Les données compromises concerneraient notamment les noms et prénoms des clients, les dates et nombre de nuitées, leurs e-mails, leurs téléphones et leurs adresses postales. « Aucune donnée bancaire n’a pu être collectée », assure Gîtes de France, qui informera lundi ses clients.
Le réseau a confirmé que la faille provenait de son prestataire informatique Itea, dont les logiciels sont utilisés par certaines de ses centrales de réservation départementales. « Seuls quelques départements français sont concernés », a assuré Gîtes de France. Le pirate a mentionné auprès de French Breaches la Guadeloupe, la Haute-Garonne et le Cantal.
Les trois groupes de tourisme vont porter plainte
Samedi, le groupe de tourisme Belambra, qui compte 44 clubs de vacances en France, avait reconnu qu’« un incident de sécurité a[vait] été identifié, ayant entraîné un accès frauduleux à une partie de nos infrastructures numériques ainsi qu’à certaines des données relatives au dossier de réservation de nos clients ».
Aucune donnée bancaire, aucun document d’identité ni aucun mot de passe ne sont concernés par cet incident, selon le groupe, qui ajoute avoir pris les mesures nécessaires. L’entreprise n’a pas précisé le nombre de données potentiellement exposées. Mais selon French Breaches, le hackeur revendique avoir eu accès à six mois de données : plus de 41 000 réservations détaillées, plus de 42 000 réservations clients et environ 360 000 données liées à des mineurs et enfants enregistrés dans les réservations.
La veille, le groupe Pierre et Vacances-Center Parcs avait précisé que la fuite portait sur 1,6 million de réservations.
Gîtes de France, Pierre et Vacances-Center Parcs et Belambra ont tous annoncé qu’ils allaient porter plainte.
Source:
www.lemonde.fr