Fuite chez Indigo
En avril 2025, l'opérateur de stationnement français Indigo a révélé une intrusion : des attaquants ont accédé à ses systèmes et dérobé noms, adresses postales et e-mail, numéros de téléphone et plaques d'immatriculation de clients ; aucune donnée bancaire ni mot de passe n'a été touché.
- Victime
- Indigo
Le 18 avril 2025, Indigo — l'un des plus grands opérateurs de stationnement au monde, présent dans plus de 750 villes et gérant plus de 2,5 millions de places — a informé ses clients que des individus malveillants avaient accédé sans autorisation à ses systèmes d'information et exfiltré des données personnelles. Le groupe a averti individuellement les personnes concernées par e-mail, y compris des clients hors de France, notamment en Belgique.
L'intrusion a exposé les coordonnées des clients et, lorsque les utilisateurs les avaient enregistrées, leurs plaques d'immatriculation. Indigo a précisé qu'aucune donnée bancaire, mot de passe ou identifiant d'accès aux comptes n'avait été compromis, et que les comptes Indigo Neo restaient protégés.
Les catégories de données exposées comprenaient :
- Nom et prénom
- Adresse postale
- Adresse e-mail
- Numéro de téléphone
- Plaque d'immatriculation (lorsqu'elle était renseignée)
Les experts en cybersécurité et la presse ont souligné un risque particulier pour les automobilistes concernés : une plaque d'immatriculation exposée peut être clonée (« doublettes »), exposant les victimes à des amendes pour des excès de vitesse, des infractions de stationnement ou des entrées en zone à faibles émissions qu'elles n'ont pas commis, ainsi qu'à des tentatives de hameçonnage et d'usurpation d'identité.
Indigo a déposé plainte auprès du procureur, notifié l'incident à la CNIL conformément à ses obligations légales et mandaté des spécialistes en cybersécurité pour mener l'enquête. Le groupe a indiqué que ses services continuaient de fonctionner normalement, qu'il avait renforcé ses mesures de sécurité et qu'aucun usage frauduleux des données dérobées n'avait été constaté au moment de la divulgation. Aucun rançongiciel n'a été évoqué dans le cadre de cet incident.
Sources
- group-indigo.comhttps://www.group-indigo.com/en/indigo-incident-alert/
- zataz.comhttps://www.zataz.com/faille-chez-indigo-des-donnees-personnelles-exposees-la-cybersecurite-en-alerte/
- usine-digitale.frhttps://www.usine-digitale.fr/article/le-specialiste-du-parking-indigo-victime-d-une-fuite-de-donnees-personnelles.N2230951
- next.inkhttps://next.ink/brief_article/stationnement-vol-de-donnees-au-sein-du-groupe-indigo/