Gîtes de France touché par une cyberattaque d’ampleur inédite
Le secteur touristique français est actuellement confronté à une crise majeure. Gîtes de France, l’un des acteurs emblématiques de l’hébergement rural dans l’Hexagone, a annoncé, le 17 mai, avoir été la cible d’une cyberattaque significative. D’après les premières estimations fournies par le site spécialisé French Breaches, près de 389 000 clients ont vu leurs données personnelles compromise, rapporte TopTribune.
Cette attaque s’inscrit dans une série d’incidents similaires qui ont récemment touché l’industrie du tourisme en France. En l’espace de trois jours, trois grands acteurs de ce secteur ont révélé des violations de données, à savoir Pierre et Vacances-Center Parcs, Belambra, puis Gîtes de France. Pour illustrer l’ampleur du phénomène, la plateforme Pierre et Vacances-Center Parcs a signalé une fuite concernant 1,6 million de réservations, tandis que Belambra a reconnu la compromission de plus de 41 000 réservations et environ 360 000 données liées à des mineurs, soulignant la vulnérabilité généralisée du tourisme français face aux cybermenaces.
Un réseau historique aux racines profondes
Gîtes de France est bien plus qu’une simple plateforme de réservation en ligne. Créé dans les années 1950, ce réseau réunit des dizaines de milliers d’hébergements ruraux dispersés sur l’ensemble du territoire français. Son fonctionnement repose sur une organisation méthodique au niveau départemental, chaque antenne locale gérant ses propres systèmes informatiques ainsi que ses centrales de réservation.
Cependant, cette structure décentralisée, qui est à la fois sa force et sa faiblesse, a ouvert la porte aux cybercriminels. La variété des systèmes informatiques employés dans les différentes entités départementales a créé de multiples points d’entrée pour les pirates, une vulnérabilité que ne présente pas une plateforme centralisée comme Airbnb.
Une faille informatique aux conséquences dramatiques
Les enquêtes menées par Gîtes de France révèlent que la faille a été causée par un prestataire informatique, Itea, qui fournit des logiciels à plusieurs centrales de réservation. « Seuls quelques départements français sont concernés », a tenté de rassurer l’organisation, citant des régions comme la Guadeloupe, la Haute-Garonne et le Cantal.
Cependant, l’ampleur des données compromises dépasse largement cette portée régionale initialement suggérée. Le hacker, qui se fait appeler ChimeraZ, affirme avoir eu accès à des informations remontant à plus de trente ans, de 1995 à 2026 — un historique impressionnant qui soulève des questions cruciales sur les pratiques d’archivage numérique de l’organisation. Les données piratées comprennent des noms, prénoms, adresses électroniques et postales, numéros de téléphone, ainsi que les détails des réservations. Heureusement, aucune donnée bancaire n’a été divulguée, selon les assurances du réseau. Toutefois, la gravité de la situation demeure : les informations révélées sont idéales pour des attaques de phishing ciblées ou des tentatives d’usurpation d’identité.
ChimeraZ, le hackeur qui défie la cybersécurité française
L’enquête indique que les trois cyberattaques récentes semblent être orchestrées par le même individu. ChimeraZ, récemment actif sur les forums de cybercriminalité anglophones, s’est entretenu avec le fondateur de French Breaches via un canal sécurisé. Ses motivations semblent aller au-delà de la simple quête de profit : « Il m’a dit avoir agi pour gagner en visibilité et montrer à quel point la France est une passoire en matière de cybersécurité», rapporte TF1 Info.
Cette déclaration prend un sens particulier compte tenu des vulnérabilités mises en avant. Le hacker a également revendiqué d’autres intrusions récentes visant des institutions comme le Collège de France, l’Académie d’Aix-Marseille et le groupe hôtelier Nemea, cette dernière attaque ayant concerné des données bancaires et des documents d’identité.
Un secteur touristique en état de choc
Au-delà de l’incident isolé de Gîtes de France, l’écosystème touristique français est en crise face à ces menaces cybernétiques. Selon Le Dauphiné, le site French Breaches a répertorié 485 fuites de données en France au cours des douze derniers mois, révélant ainsi la gravité de la situation. Comparativement, des plateformes internationales comme Booking.com ou Airbnb, malgré leur volume de données nettement supérieur, présentent une résilience informatique plus efficace, soutenue par des investissements en cybersécurité bien plus conséquents que ceux des acteurs français du secteur.
Conséquences et perspectives d’avenir
En réponse à cette crise, Gîtes de France a pris l’initiative de déposer une plainte contre X auprès des autorités compétentes. De plus, l’organisation s’est engagée à informer tous les clients concernés dès le 18 mai. Bien que ces actions soient nécessaires, elles ne suffisent pas à éliminer les risques auxquels font face les vacanciers dont les informations sont désormais présentes sur le dark web.
La Commission nationale de l’informatique et des libertés (CNIL) avait prononcé 83 sanctions en 2022, principalement en raison de sécurisations insuffisantes des données. Face à l’augmentation des incidents, la sénatrice centriste Nathalie Goulet a appelé à la création d’une commission d’enquête parlementaire, déplorant une « France passoire ».
Par ailleurs, la mise en œuvre française de la directive européenne NIS2, initialement prévue pour octobre 2024, est en retard considérable. Ce texte vise à renforcer les obligations en matière de cybersécurité pour de nombreuses entreprises et organismes, y compris des acteurs du tourisme comme Gîtes de France.
Ce dysfonctionnement met en évidence l’urgence d’une réévaluation profonde des pratiques numériques au sein de l’industrie touristique française. Au-delà des rectifications immédiates, une transformation culturelle et technologique est indispensable pour restaurer la confiance des millions de voyageurs, qu’ils soient français ou étrangers, qui partagent chaque année leurs informations personnelles avec les hébergements ruraux du pays.
