Pierre & Vacances : 4,5 millions de vacanciers exposés dans une fuite massive de données
En mai 2026, le groupe touristique français Pierre & Vacances-Center Parcs a révélé une fuite de données touchant sa plateforme « La France du Nord au Sud » (marque maeva), exposant les données personnelles d'environ 1,6 million de réservations et jusqu'à 4,5 millions de clients : noms, dates de naissance, numéros de téléphone et détails de séjour.
- Victime
- Pierre & Vacances
- données
- 4.5M
Le 15 mai 2026, Pierre & Vacances-Center Parcs (PVCP) — l'un des plus grands opérateurs européens de location de vacances et de villages-resorts — a reconnu une importante fuite de données touchant sa plateforme de réservation « La France du Nord au Sud », une filiale exploitée sous la marque maeva du groupe. Le groupe a été alerté de l'incident le 14 mai et l'a rendu public quelques jours plus tard.
La fuite ne résulte pas d'une intrusion par rançongiciel mais d'une faille de type IDOR (Insecure Direct Object Reference) dans la plateforme de réservation. Un attaquant — agissant sous le pseudonyme « ChimeraZ » et mettant les données en vente sur un forum clandestin — a exploité la vulnérabilité au moyen d'un scraping automatisé à grande échelle mené sur plusieurs semaines, aspirant des enregistrements remontant, selon les informations disponibles, jusqu'à une dizaine d'années. Environ 1,6 million de réservations et jusqu'à 4,5 millions de clients ont été concernés, couvrant quelque 38 945 résidences et hébergements touristiques.
La plateforme regroupant les réservations de l'ensemble du portefeuille du groupe, les enregistrements exposés concernaient aussi des réservations liées à des marques telles que Center Parcs, Odalys, Pierre & Vacances, Lagrange Vacances, Belambra, Adagio, Sandaya, Flower Campings, Goélia et Départ 18:25. Les catégories de données exposées comprenaient :
- Numéros de réservation / de dossier
- Noms des clients et dates de naissance
- Numéros de téléphone
- Dates et lieux de séjour, historique des réservations
- Hébergements choisis et options réservées (ex. : TV, climatisation)
Le groupe a précisé qu'aucune donnée bancaire ni adresse e-mail ne figurait parmi les informations collectées. PVCP a indiqué avoir identifié et corrigé la vulnérabilité à l'origine de la fuite, déployé des mesures de sécurité correctives, notifié la CNIL (autorité française de protection des données) et déposé une plainte auprès des autorités compétentes.
Sources
- cyberattaque.orghttps://www.cyberattaque.org/maeva-pierre-vacances-center-parcs-cyberattque-fuite-donnees/
- optionfinance.frhttps://www.optionfinance.fr/info-financiere-en-continu/d/2026-05-18-pierre-vacances-center-parcs-touche-par-une-fuite-de-donnees.html