Le groupe de tourisme Pierre et Vacances a fait l'objet d'une fuite de données sur 1,6 million de réservations. Son rival Belambra pourrait être concerné à son tour, d'après le site spécialisé French Breaches. «Fuite de données - Belambra: plus de 402'000 personnes, dont de nombreux mineurs, potentiellement concernées par une base revendiquée par un hacker» affirme samedi le site French Breaches, spécialisé dans le recensement de vols de données. French Breaches a expliqué à l'AFP avoir été contacté par le hacker, lequel lui a fourni des échantillons de données.
Selon le site, le hacker revendique avoir eu accès à six mois de données: plus de 41'000 réservations détaillées, plus de 42'000 réservations clients et environ 360'000 données liées à des mineurs et enfants enregistrés dans les réservations. Contacté par l'AFP, Belambra, qui compte 44 clubs de vacances en France, n'avait pas encore répondu samedi en début de soirée.
D'après French Breaches, plusieurs autres services touristiques et plateformes français ont également été signalés par le hacker, mais le site indique ne pas pouvoir confirmer à ce stade «l'authenticité complète de l'ensemble des données revendiquées».
Plainte déposée
La veille, le groupe Pierre et Vacances-Center Parcs (PVCP) avait, lui, dit avoir déposé plainte pour une fuite sur 1,6 million de réservations. «Le 14 mai 2026, nous avons été informés avoir été la cible d'un incident de sécurité ayant conduit à l'exposition de certaines données personnelles avec un historique potentiel pouvant remonter à dix ans», a-t-il écrit dans un courriel adressé à l'AFP, confirmant une information du Parisien sur les bases d'un travail de French Breaches.
Cette faille concerne la plateforme La France du Nord au Sud , filiale de sa marque Maeva, et non Pierre et vacances et Center Parcs, précise PVCP, qui a déposé une plainte contre X.
Le site French Breaches a là aussi indiqué avoir été directement contacté par le hacker, qui lui a transmis plusieurs échantillons de données, «ainsi que des éléments techniques détaillés permettant de confirmer la réalité de l'exposition. Ces éléments ont ensuite été analysés et recoupés par nos équipes», dit-il. Au total, le hacker aurait récupéré des données concernant plus de 4,5 millions de clients, potentiellement entre 2005 et 2026.
Multiplication des attaques
Les données potentiellement exposées concernent le numéro de réservation, les dates et lieu de séjour, les noms des occupants de l'hébergement, leur numéro de téléphone et leur date de naissance.
«Aucune donnée bancaire, ni adresse e-mail n'ont pu être collectées», indique PVCP, qui dit «avoir identifié et corrigé la faille». L'incident a fait l'objet d'une notification auprès de la Commission nationale de l'informatique et des libertés (CNIL).
