Skip to content
Fuite de donnéesContenu

Pierre & Vacances : 4,5 millions de vacanciers exposés dans une fuite massive de données

En mai 2026, le groupe touristique français Pierre & Vacances-Center Parcs a révélé une fuite de données touchant sa plateforme « La France du Nord au Sud » (marque maeva), exposant les données personnelles d'environ 1,6 million de réservations et jusqu'à 4,5 millions de clients : noms, dates de naissance, numéros de téléphone et détails de séjour.

Victime
Pierre & Vacances
données
4.5M

Le 15 mai 2026, Pierre & Vacances-Center Parcs (PVCP) — l'un des plus grands opérateurs européens de location de vacances et de villages-resorts — a reconnu une importante fuite de données touchant sa plateforme de réservation « La France du Nord au Sud », une filiale exploitée sous la marque maeva du groupe. Le groupe a été alerté de l'incident le 14 mai et l'a rendu public quelques jours plus tard.

La fuite ne résulte pas d'une intrusion par rançongiciel mais d'une faille de type IDOR (Insecure Direct Object Reference) dans la plateforme de réservation. Un attaquant — agissant sous le pseudonyme « ChimeraZ » et mettant les données en vente sur un forum clandestin — a exploité la vulnérabilité au moyen d'un scraping automatisé à grande échelle mené sur plusieurs semaines, aspirant des enregistrements remontant, selon les informations disponibles, jusqu'à une dizaine d'années. Environ 1,6 million de réservations et jusqu'à 4,5 millions de clients ont été concernés, couvrant quelque 38 945 résidences et hébergements touristiques.

La plateforme regroupant les réservations de l'ensemble du portefeuille du groupe, les enregistrements exposés concernaient aussi des réservations liées à des marques telles que Center Parcs, Odalys, Pierre & Vacances, Lagrange Vacances, Belambra, Adagio, Sandaya, Flower Campings, Goélia et Départ 18:25. Les catégories de données exposées comprenaient :

  • Numéros de réservation / de dossier
  • Noms des clients et dates de naissance
  • Numéros de téléphone
  • Dates et lieux de séjour, historique des réservations
  • Hébergements choisis et options réservées (ex. : TV, climatisation)

Le groupe a précisé qu'aucune donnée bancaire ni adresse e-mail ne figurait parmi les informations collectées. PVCP a indiqué avoir identifié et corrigé la vulnérabilité à l'origine de la fuite, déployé des mesures de sécurité correctives, notifié la CNIL (autorité française de protection des données) et déposé une plainte auprès des autorités compétentes.

Sources

  1. cyberattaque.orghttps://www.cyberattaque.org/maeva-pierre-vacances-center-parcs-cyberattque-fuite-donnees/
  2. optionfinance.frhttps://www.optionfinance.fr/info-financiere-en-continu/d/2026-05-18-pierre-vacances-center-parcs-touche-par-une-fuite-de-donnees.html

Incidents liés

Fuite de donnéesInconnu

18 140 personnes touchées par une fuite revendiquée chez AVEA Vacances

Le 23 mai 2026, AVEA Vacances, association française organisant des séjours éducatifs et colonies de vacances pour enfants et adolescents, a été visée par une fuite sur forum d'environ 46 000 enregistrements (128 Mo), dont un fichier de 18 140 lignes de données de postiers et CSE ainsi que des documents de réservation et comptables.

Victim
AVEA Séjours / AVEA Vacances
Records
18.1K
Fuite de donnéesContenu

Fuite de données chez Nemea Groupe confirmée par l'entreprise

Nemea Groupe, exploitant français de résidences étudiantes, de résidences de tourisme et d'appart'hôtels, a confirmé une fuite de données touchant ses candidats locataires après l'exfiltration par le pirate ChimeraZ d'une base concernant environ 12 590 personnes, exposant identités, coordonnées, données bancaires et pièces d'identité scannées.

Victim
Nemea Groupe
Records
12.6K