Le secteur du tourisme français est actuellement la cible d’une vague inédite de cyberattaques. En l’espace d’un seul week-end, trois acteurs majeurs — Pierre & Vacances-Center Parcs, Belambra et Gîtes de France — ont été touchés par des intrusions informatiques ayant entraîné le vol de données personnelles de plusieurs millions de clients.

Selon les premières estimations, ce sont plus de 5 millions de Français dont les informations ont été compromises, avec des données remontant parfois jusqu’à 30 ans en arrière.

Pierre & Vacances-Center Parcs : 1,6 million de réservations touchées

Le groupe Pierre & Vacances-Center Parcs (PVCP) a été le premier à communiquer. L’attaque ne concerne pas directement les marques Pierre & Vacances et Center Parcs, mais la filiale La France du Nord au Sud, plateforme centralisant les réservations pour plusieurs entités du groupe (Maeva Club, Maeva Home, etc.).

Les données compromises incluent :

• Numéros de réservation ;
• Dates et lieux de séjour ;
• Noms des occupants ;
• Numéros de téléphone ;
• Dates de naissance.

Aucune donnée bancaire ni adresse e-mail n’aurait été extraite. Le groupe indique que 1,6 million de réservations ont été touchées, tandis que le hacker revendique sur le dark web plus de 4,5 millions de clients concernés. La faille exploitée serait de type IDOR (Insecure Direct Object Reference), une vulnérabilité permettant d’accéder à des données en modifiant simplement des paramètres d’URL. Pierre & Vacances a déposé plainte et notifié la CNIL.

Belambra : 41.000 réservations compromises

Le groupe Belambra a confirmé un « incident de sécurité » ayant permis un accès frauduleux à une partie de ses infrastructures. Les attaquants ont récupéré des données relatives aux dossiers de réservation. Aucune donnée bancaire, document d’identité ou mot de passe n’aurait été compromise.

Sur le dark web, le même hacker revendique le vol d’informations concernant 41.000 réservations (période novembre 2025 – mai 2026), soit environ 360.000 données impliquant des mineurs.

Gîtes de France : 400.000 personnes touchées sur 30 ans

Gîtes de France a également signalé un accès frauduleux aux données de réservation via un prestataire informatique (Itea). Le hacker revendique le vol des informations de près de 400.000 personnes, avec des données s’étalant de 1995 à 2026 (noms, coordonnées, détails des séjours). Aucune donnée bancaire n’a été collectée.

Un même hacker derrière les attaques

Toutes ces intrusions sont revendiquées par un unique cybercriminel connu sous le pseudonyme ChimeraZ, actif depuis peu sur les forums du dark web. Il aurait exploité des failles IDOR dans plusieurs cas, permettant une extraction automatisée et massive de données.

Ces attaques soulignent la vulnérabilité du secteur touristique, qui traite des volumes importants de données personnelles sensibles (dates de séjour, adresses, coordonnées) et repose sur de nombreux prestataires interconnectés.

Réactions et conséquences

Les trois groupes ont déposé plainte et notifié la CNIL. Les clients concernés seront informés. Ces fuites ouvrent la porte à des risques accrus de phishing, d’usurpation d’identité ou même de cambriolages ciblés (les attaquants connaissant les dates d’absence).

Dans un contexte de multiplication des cyberattaques en France, la sénatrice centriste Nathalie Goulet a demandé la création d’une commission d’enquête parlementaire sur ce qu’elle qualifie de « France passoire ». Le gouvernement a par ailleurs annoncé un plan d’urgence de 200 millions d’euros pour renforcer la cybersécurité des systèmes d’État.

Cette nouvelle série noire intervient quelques semaines seulement après d’autres fuites majeures et renforce le sentiment d’une exposition croissante des données personnelles des Français.