Skip to content
Chaîne d’approvisionnementRésolu

Fuite chez Hertz

Le 15 avril 2025, le loueur de voitures Hertz a révélé une fuite de données provenant de l'exploitation fin 2024, par le groupe CL0P, de failles zero-day du logiciel de transfert de fichiers Cleo, exposant noms, coordonnées, dates de naissance, permis de conduire, données bancaires et passeports de clients.

Victime
Hertz

Le 15 avril 2025, Hertz — le loueur de voitures mondial, qui exploite également les marques Dollar et Thrifty — a confirmé une fuite de données touchant un nombre indéterminé de clients. L'incident ne découle pas d'une intrusion directe dans les systèmes de Hertz, mais d'une compromission de la chaîne d'approvisionnement chez l'un de ses prestataires, Cleo Communications.

La fuite remonte à l'exploitation massive, par le groupe de rançongiciel CL0P, de failles zero-day (CVE-2024-50623 et CVE-2024-55956) dans les produits de transfert de fichiers gérés de Cleo — Harmony, VLTrader et LexiCom. Les attaquants ont accédé aux données de Hertz via cette plateforme en octobre et décembre 2024. Hertz a confirmé l'accès non autorisé le 10 février 2025 et a terminé son analyse des données vers le 2 avril 2025 avant de notifier les personnes concernées.

Les données exposées variaient selon les clients, mais pouvaient inclure :

  • Noms et coordonnées
  • Dates de naissance
  • Informations de permis de conduire
  • Données de cartes de crédit
  • Données de passeport
  • Pour un sous-ensemble plus restreint : numéros de sécurité sociale, autres pièces d'identité officielles et informations relatives aux demandes d'indemnisation des accidents du travail

Hertz n'a pas communiqué de chiffre total, estimant toutefois qu'il serait « inexact de parler de millions » de personnes touchées ; des déclarations réglementaires confirment au moins 3 400 clients dans l'État américain du Maine. L'entreprise a signalé l'incident aux forces de l'ordre et aux régulateurs, a déclaré n'avoir trouvé aucune preuve d'utilisation frauduleuse et a proposé des services gratuits de surveillance d'identité aux personnes les plus exposées.

Sources

  1. next.inkhttps://next.ink/brief_article/hertz-sest-fait-derober-des-donnees-clients-permis-passeports-cartes-de-credit/
  2. malwarebytes.comhttps://www.malwarebytes.com/blog/news/2025/04/hertz-data-breach-caused-by-cl0p-ransomware-attack-on-vendor
  3. infosecurity-magazine.comhttps://www.infosecurity-magazine.com/news/hertz-data-breach-exposes-customer/
  4. computerweekly.comhttps://www.computerweekly.com/news/366622655/Hertz-warns-UK-customers-of-Cleo-linked-data-breach

Incidents liés

Chaîne d’approvisionnementContenu

Fuite chez Suzuki

Suzuki France a révélé qu'une cyberattaque visant le système d'un de ses partenaires tiers a exposé un fichier client contenant noms, adresses email, adresses postales et numéros de téléphone ; aucune donnée financière ni mot de passe n'était concerné.

Victim
Suzuki
Chaîne d’approvisionnementContenu

Fuite chez Air France

En août 2025, Air France-KLM a révélé que des attaquants avaient accédé à des données clients — nom, prénom, coordonnées, numéro et statut Flying Blue, et objet des demandes au service client — via une plateforme de service client tierce compromise.

Victim
Air France
Chaîne d’approvisionnementContenu

Fuite de données chez Voyage Privé - réservations à venir exposées

Voyage Privé, la plateforme française de voyages en vente flash, a confirmé en février 2026 qu'un partenaire tiers compromis avait exposé des données de réservation de clients ayant des voyages à venir — noms, pays de résidence, e-mails, numéros de téléphone et, dans certains cas, numéros de passeport — alimentant une vague de phishing sur WhatsApp.

Victim
Voyage Privé