Skip to content

Fuite chez Maeva

En mai 2026, Maeva — la marque de locations de vacances du groupe Pierre & Vacances-Center Parcs — a révélé une fuite au cours de laquelle un attaquant a aspiré jusqu'à dix ans d'historique de réservations, exposant noms, dates de naissance, numéros de téléphone et détails de séjour d'environ 4,5 millions de clients sur 1,6 million de réservations.

Victime
Maeva

Le 19 mai 2026, Maeva — la marque de locations de vacances du groupe touristique français Pierre & Vacances-Center Parcs (PVCP) — a été confirmée victime d'une fuite de données de grande ampleur touchant sa plateforme de réservation « La France du Nord au Sud ». PVCP a d'abord reconnu publiquement l'incident vers le 15 mai, avant de le détailler dans une note de sécurité destinée à ses clients.

L'attaquant a exploité une faille de type Insecure Direct Object Reference (IDOR) dans la plateforme de réservation, qui permettait d'accéder à des dossiers de réservation sans autorisation en manipulant des identifiants d'objets. Sur plusieurs semaines, les données ont été récupérées par extraction automatisée à grande échelle (scraping) plutôt que par une intrusion unique. Une personne utilisant l'alias « ChimeraZ » a revendiqué les faits sur un forum cybercriminel, mettant en avant environ 900 Mo de données au format JSON couvrant près de dix ans d'historique de réservations.

Les données exposées concernaient environ 4,5 millions de personnes sur près de 1,6 million de réservations et comprenaient :

  • Nom et prénom des occupants
  • Date de naissance
  • Numéro de téléphone
  • Numéro de réservation et commentaires de réservation
  • Dates et lieux de séjour / hébergements réservés

PVCP a indiqué qu'aucune donnée bancaire, moyen de paiement ni mot de passe n'avait été compromis ; les mots de passe ont néanmoins été réinitialisés par précaution. Le groupe a déclaré avoir identifié et corrigé la vulnérabilité, déployé des mesures techniques supplémentaires, déposé une plainte pénale, notifié la CNIL et ouvert une ligne d'assistance dédiée pour les clients concernés.

Sources

  1. maeva.comhttps://www.maeva.com/fr-fr/information-securite
  2. optionfinance.frhttps://www.optionfinance.fr/info-financiere-en-continu/d/2026-05-18-pierre-vacances-center-parcs-touche-par-une-fuite-de-donnees.html
  3. cyberattaque.orghttps://www.cyberattaque.org/maeva-pierre-vacances-center-parcs-cyberattque-fuite-donnees/
  4. leto.legalhttps://www.leto.legal/news/pvcp-maeva-fuite-donnees-1-6-million-reservations-2026

Incidents liés

Exploitation de vulnérabilitéEn cours

Fuite chez Médiathèque Numérique du Conseil Départemental de la Haute-Garonne

Révélée vers le 22 mai 2026, la médiathèque numérique départementale de la Haute-Garonne (Média31) a été compromise via l'exploitation de vulnérabilités du site, exposant les données d'environ 765 usagers : noms, e-mails, dates de naissance, villes et identifiants de connexion.

Victim
Médiathèque Numérique du Conseil Départemental de la Haute-Garonne
Records
765