Le réseau d'hébergements Gîtes de France a confirmé dimanche 17 mai 2026 avoir été la cible d'un vol de données le samedi précédent. Selon le site de recension des fuites en ligne French Breaches, qui a révélé l'information, plus de 389 000 clients pourraient être concernés. Il s'agit de la troisième cyberattaque en trois jours visant le secteur touristique français, après celles contre Pierre et Vacances-Center Parcs et Belambra.
Un même pirate à l'origine des trois attaques
Le fondateur de French Breaches a indiqué à l'AFP avoir échangé avec le pirate via une messagerie sécurisée. Ce dernier a revendiqué les trois vols de données, affirmant avoir agi pour gagner en visibilité et démontrer les failles de la cybersécurité en France. Selon le pirate, les données dérobées chez Gîtes de France couvrent une période de plus de 30 ans, de 1995 à 2026.
Données compromises et absence de données bancaires
Les informations compromises incluent les noms et prénoms des clients, les dates et le nombre de nuitées, les adresses e-mail, les numéros de téléphone et les adresses postales. Gîtes de France a toutefois assuré qu'aucune donnée bancaire n'avait été collectée. Le réseau informera ses clients lundi des mesures à prendre.
Origine de la faille et départements concernés
La faille proviendrait du prestataire informatique Itea, dont les logiciels sont utilisés par certaines centrales de réservation départementales. Seuls quelques départements seraient touchés, parmi lesquels la Guadeloupe, la Haute-Garonne et le Cantal, selon les informations transmises par le pirate à French Breaches.
Belambra et Pierre et Vacances également visés
Samedi, Belambra a reconnu un incident de sécurité ayant permis un accès frauduleux à ses infrastructures numériques et à des données de réservation. French Breaches indique que le pirate aurait eu accès à plus de 41 000 réservations détaillées, 42 000 réservations clients et environ 360 000 données liées à des mineurs. Vendredi, Pierre et Vacances-Center Parcs avait annoncé une fuite concernant 1,6 million de réservations et déposé plainte. Les trois entités ont indiqué qu'elles porteraient plainte.
