Pierre et Vacances-Center Parcs est confronté à une fuite de données qui touche plus de 4,5 millions de clients actuels et anciens. L’incident concerne 1,6 million de réservations enregistrées sur La France du Nord au Sud, plateforme rattachée à Maeva (filiale de Pierre et Vacances-Center Parcs), avec un historique qui pourrait remonter jusqu’à dix ans, comme le rapporte Le Parisien.
Les informations compromises ne concernent pas seulement la réservation elle-même. Le périmètre comprend le numéro de réservation, les dates et lieux de séjour, les noms des occupants, les numéros de téléphone, les dates de naissance ainsi que les commentaires liés aux options choisies (telles que la télévision ou la climatisation).
Pierre et Vacances-Center Parcs précise toutefois qu’aucune donnée bancaire ni adresse email n’a été récupérée. Le groupe affirme également que la faille a été identifiée puis corrigée.
Une faille exploitée depuis plusieurs semaines
L’attaque est basée sur une vulnérabilité IDOR (Insecure Direct Object Reference). En pratique, le hacker a obtenu des accès frauduleux en usurpant les droits d’accès depuis la plateforme de réservation, jusqu’à atteindre les bases ciblées. Une fois cet accès obtenu, l’exfiltration a été réalisée selon la méthode du scraping, c’est-à-dire via un outil chargé d’aspirer les informations affichées. L’opération est restée active discrètement pendant plusieurs semaines.
Le groupe indique avoir été informé de l’incident le 14 mai 2026. Il insiste également sur le fait que la faute concerne La France du Nord au Sud et non directement les enseignes Pierre et Vacances et Center Parcs.
Pierre et Vacances-Center Parcs a porté plainte contre X et a notifié l’incident à la CNIL. La réponse judiciaire et réglementaire est donc déjà en cours, en parallèle de la correction technique annoncée.
De nombreuses cyberattaques en France
Cette affaire s’ajoute à une série d’attaques qui touchent aussi bien les fédérations sportives que des opérateurs comme Free ou des groupes hôteliers comme Logis Hôtels France et Brit Hotel. Mi-avril, l’ANTS, qui gère les demandes de pièces d’identité, a également subi une cyberattaque massive touchant 12 millions de particuliers et professionnels.
Plus largement, plusieurs rapports d’entreprises de cybersécurité placent la France parmi les pays les plus ciblés, que ce soit pour des vols de données ou des attaques menées via des malwares.
