Des cyberattaques en série visent les groupes touristiques français
Plusieurs groupes de tourisme français, comme Gîtes de France ou Pierre et Vacances, ont subi ces derniers jours de multiples cyberattaques. Les données de plusieurs millions de vacanciers ont été dérobées. Cet article vous explique si vous êtes concernés et quels sont les risques pour vos informations personnelles.
Quels types de données ont été volés ?
Le groupe Pierre et Vacances-Center Parcs (PVCP) a déposé une plainte après une fuite de données touchant 1,6 million de réservations, sur une période pouvant remonter à dix ans. Les données exposées incluent le numéro de réservation, les dates et lieux de séjour, les noms des occupants, leur numéro de téléphone et leur date de naissance. Selon PVCP, aucune donnée bancaire ni adresse e-mail n'ont été compromises.
Chez Belambra, qui compte 44 clubs de vacances en France, plus de 41 000 réservations détaillées, 42 000 réservations clients et environ 360 000 données liées à des mineurs et enfants enregistrés dans les réservations auraient été compromises, d'après le site French Breaches. Le groupe précise qu'aucune donnée bancaire, document d'identité ou mot de passe n'est concerné.
Côté Gîtes de France, le vol de données pourrait concerner 389 000 clients, incluant noms, prénoms, dates et nombre de nuitées, e-mail, numéro de téléphone et adresse postale, selon French Breaches.
Quelles conséquences pour les vacanciers ?
« Les pirates peuvent utiliser ces informations pour mettre au point des escroqueries très convaincantes en se faisant passer pour des marques de voyage, des compagnies aériennes ou des services de réservation », explique Damien Gbiorczyk, spécialiste en cyber-résilience chez Illumio. Les victimes peuvent recevoir des messages frauduleux personnalisés les invitant à confirmer un paiement, régulariser un problème sur leur dossier ou se reconnecter à leur espace client. Cette technique de hameçonnage mène généralement « soit à l'installation d'un virus, la compromission de votre compte ou de vos coordonnées bancaires », résume Arnaud Lemaire, expert en cybersécurité chez F5.
Les informations dérobées peuvent aussi « enrichir des profils utilisés pour des usurpations d'identité », souligne Benoit Grunemwald. Il existe même un risque de cambriolage pour les vacanciers dont les données ont été compromises, comme cela a été le cas pour le vol de données d'adhérents de la Fédération française de tir, pointe Arnaud Lemaire.
Doit-on s'attendre à de nouvelles attaques ?
C'est fort probable, selon les experts interrogés. « La couverture médiatique des récentes attaques peut, sans le vouloir, alerter d'autres acteurs malveillants sur les faiblesses potentielles du secteur », affirme Damien Gbiorczyk. « Il est aussi plus simple pour les attaquants de réutiliser des mécanismes ou identifiants de précédentes attaques, tout en ciblant le même secteur d'activité avec de nombreuses actions automatisées », prévient-il.
Pourquoi viser les groupes touristiques ?
Les entreprises de tourisme sont des cibles « alléchantes car elles contiennent beaucoup d'informations personnelles », explique Arnaud Lemaire. Les cybercriminels cherchent à obtenir « des profils de vie : qui vous êtes, où vous allez, quand votre logement sera vide. Un dossier de réservation familiale concentre tout cela en un seul endroit, ce qui en fait une marchandise très prisée sur les marchés clandestins », ajoute-t-il.
En outre, « le tourisme repose sur des plateformes très exposées, interconnectées et dépendantes de nombreux prestataires, ce qui élargit la surface d'attaque et multiplie les points de fragilité », détaille Benoit Grunemwald, expert en cybersécurité chez Eset. Et la période pré-estivale est propice aux attaques, puisque « les entreprises touristiques connaissent une forte augmentation des réservations, des interactions avec les clients et des paiements en ligne », selon Damien Gbiorczyk. Soumises à « une pression opérationnelle », ces organisations « peuvent être plus vulnérables au phishing, au vol d'identifiants ou aux attaques par ransomware », conclut-il.
