Skip to content

Incidents dans le secteur :

Transport

Fuite de donnéesEn cours

Fuite chez Interrail

Une cyberattaque de décembre 2025 contre Eurail B.V., opérateur des pass Interrail et Eurail, a exposé les données personnelles d'environ 308 000 voyageurs — noms, coordonnées, dates de naissance et numéros de passeport — revendues sur le dark web en 2026.

Victim
Interrail
Records
308.8K
Fuite de donnéesContenu

Fuite de données chez Mingat

Le 19 mars 2026, l'entreprise française de location de véhicules Mingat a confirmé une fuite de données touchant ses clients, qu'elle a informés d'un incident de sécurité ayant exposé des informations personnelles issues de ses fichiers de location.

Victim
Mingat
RançongicielEn cours

Fuite chez Organisme pour la Sécurité de l’Aviation Civile

En février 2026, le groupe d'extorsion LAPSUS$ a revendiqué le vol d'environ 420 Go de données de l'OSAC (Organisme pour la Sécurité de l'Aviation Civile), dont cartes d'identité, passeports, diplômes, justificatifs de domicile et documents internes ; les données ont ensuite été intégralement diffusées.

Victim
Organisme pour la Sécurité de l’Aviation Civile
Chaîne d’approvisionnementContenu

Fuite de données chez Voyage Privé - réservations à venir exposées

Voyage Privé, la plateforme française de voyages en vente flash, a confirmé en février 2026 qu'un partenaire tiers compromis avait exposé des données de réservation de clients ayant des voyages à venir — noms, pays de résidence, e-mails, numéros de téléphone et, dans certains cas, numéros de passeport — alimentant une vague de phishing sur WhatsApp.

Victim
Voyage Privé
Fuite de donnéesContenu

3 600 clients de Gustave-Auto concernés par une fuite de données revendiquée

Gustave-Auto, plateforme française de services automobiles (convoyage de véhicules, gestion de flotte et réparation), a révélé en février 2026 qu'une anomalie d'accès avait exposé des données de partenaires — noms, adresses postales et e-mail, numéros de téléphone, coordonnées bancaires (IBAN/BIC) et numéros SIRET/TVA — une revendication évoquant environ 3 600 enregistrements.

Victim
Gustave-Auto
Records
3.6K
Fuite de donnéesInconnu

Fuite chez Movida

Les données clients de la société française de location de véhicules Movida ont été exposées lors d'une fuite divulguée le 24 janvier 2026, comprenant noms, coordonnées et numéros de compte bancaire (IBAN).

Victim
Movida
Fuite de donnéesContenu

Fuite chez Eurail

En janvier 2026, Eurail B.V. — exploitant des pass ferroviaires Interrail et Eurail — a révélé une fuite de données exposant les informations personnelles et de passeport de ses clients, jusqu'à ~309 000 voyageurs seraient concernés et des données volées ont ensuite été mises en vente sur le dark web.

Victim
Eurail
Fuite de donnéesContenu

Fuite chez Mondial Relay

En décembre 2025, le transporteur de colis Mondial Relay a révélé une cyberattaque au cours de laquelle des données clients et logistiques ont été dérobées — nom, e-mail, adresse postale, téléphone et informations de suivi ; un acteur du dark web a revendiqué environ 25,7 millions de lignes.

Victim
Mondial Relay
Fuite de donnéesContenu

Fuite chez Chronopost

En décembre 2025, un fichier de 680 Mo portant sur environ 860 000 clients Chronopost — noms, e-mails et détails de colis aspirés sur le réseau de points relais Pickup de La Poste — a été publié sur BreachForums ; les données couvraient des envois du printemps 2025.

Victim
Chronopost
Records
860.0K
Fuite de donnéesContenu

Fuite chez Colis Privé

En novembre 2025, le transporteur français Colis Privé a révélé un accès non autorisé à une partie de ses systèmes ayant exposé des données de contact clients — noms, adresses postales et électroniques, numéros de téléphone. Un pirate a mis en vente un jeu de données chiffré à plusieurs dizaines de millions de lignes ; aucun mot de passe ni donnée bancaire n'a été affecté.

Victim
Colis Privé
Chaîne d’approvisionnementContenu

Fuite chez Suzuki

Suzuki France a révélé qu'une cyberattaque visant le système d'un de ses partenaires tiers a exposé un fichier client contenant noms, adresses email, adresses postales et numéros de téléphone ; aucune donnée financière ni mot de passe n'était concerné.

Victim
Suzuki
Fuite de donnéesContenu

Fuite chez Digital Charging Solutions

En septembre 2025, Digital Charging Solutions, fournisseur de services de facturation pour la recharge de véhicules électriques, a révélé qu'un prestataire tiers avait accédé sans autorisation à des données clients, exposant les noms et adresses e-mail d'un nombre initial très limité d'utilisateurs.

Victim
Digital Charging Solutions
RançongicielContenu

Arrêt mondial de production chez Jaguar Land Rover (Scattered Lapsus$ Hunters, 2025)

Une cyberattaque contre le plus grand constructeur automobile britannique a contraint JLR à couper son réseau informatique mondial et a interrompu la production de véhicules au Royaume-Uni, en Chine, en Slovaquie, en Inde et au Brésil pendant cinq semaines — désormais considérée comme l'incident cyber le plus économiquement dommageable de l'histoire du Royaume-Uni.

Victim
Jaguar Land Rover
Loss
$2.40B
Chaîne d’approvisionnementContenu

Fuite chez Air France

En août 2025, Air France-KLM a révélé que des attaquants avaient accédé à des données clients — nom, prénom, coordonnées, numéro et statut Flying Blue, et objet des demandes au service client — via une plateforme de service client tierce compromise.

Victim
Air France
Fuite de donnéesContenu

Fuite chez Autosur

Autosur, l'un des principaux réseaux français de contrôle technique, a subi une fuite de données exposant les informations personnelles et automobiles de millions de clients — noms, e-mails, adresses postales, téléphones, plaques d'immatriculation et détails des véhicules — mises en vente sur un forum cybercriminel.

Victim
Autosur
Fuite de donnéesContenu

Fuite chez Indigo

En avril 2025, l'opérateur de stationnement français Indigo a révélé une intrusion : des attaquants ont accédé à ses systèmes et dérobé noms, adresses postales et e-mail, numéros de téléphone et plaques d'immatriculation de clients ; aucune donnée bancaire ni mot de passe n'a été touché.

Victim
Indigo
Chaîne d’approvisionnementRésolu

Fuite chez Hertz

Le 15 avril 2025, le loueur de voitures Hertz a révélé une fuite de données provenant de l'exploitation fin 2024, par le groupe CL0P, de failles zero-day du logiciel de transfert de fichiers Cleo, exposant noms, coordonnées, dates de naissance, permis de conduire, données bancaires et passeports de clients.

Victim
Hertz
Fuite de donnéesRésolu

Fuite de données Samsung Germany Customer Tickets (2025)

En mars 2025, des données de Samsung Allemagne ont été compromises lors d'une fuite de données de son prestataire logistique, Spectos. Vraisemblablement due à des identifiants obtenus par un malware s'exécutant sur la machine d'un employé de Spectos, la fuite incluait 216 000 adresses e-mail uniques ainsi que des noms, des adresses physiques, des articles…

Victim
Samsung Germany Customer Tickets
Records
216.3K
Fuite de donnéesContenu

Fuite chez Autosur & Diagnosur

En mars 2025, le réseau français de contrôle technique Autosur (marque Diagnosur) a révélé une fuite exposant les données d'environ 10,7 millions de clients — noms, adresses postales et e-mail, numéros de téléphone et données détaillées des véhicules dont plaques d'immatriculation et numéros de série — ensuite mises en vente en ligne.

Victim
Autosur & Diagnosur
Fuite de donnéesContenu

Fuite chez La Poste

En mars 2025, l'opérateur postal français La Poste a révélé une fuite de sa plateforme « Élection du Timbre » exposant les données personnelles d'environ 50 000 utilisateurs — nom, année de naissance, e-mail, téléphone et adresse postale — mises en vente en ligne par un pirate.

Victim
La Poste
Records
50.0K
Fuite de donnéesContenu

Fuite chez Chronopost

Chronopost, le transporteur express de colis français, a confirmé en février 2025 qu'une intrusion détectée le 29 janvier 2025 avait exposé les données personnelles d'environ 210 000 clients, dont noms, adresses postales, numéros de téléphone et signatures de livraison.

Victim
Chronopost
Records
210.0K
RançongicielEn cours

Fuite chez Peugeot

En décembre 2024, le groupe de rançongiciel-as-a-service Cicada 3301 a revendiqué le vol de 40 Go de données chez des concessionnaires Peugeot (principalement dans le Lot-et-Garonne), incluant pièces d'identité de clients, codes VIN et données de stock, menaçant de les publier avant le 6 janvier 2025.

Victim
Peugeot
Fuite de donnéesContenu

Fuite chez Norauto

Le 2 décembre 2024, l'enseigne automobile française Norauto a révélé une cyberattaque visant son service de location de véhicules, exposant les données personnelles d'environ 78 000 clients (noms, coordonnées et, dans certains cas, numéros de pièce d'identité) ; le fichier a été mis en vente sur BreachForums.

Victim
Norauto
Records
78.0K
Bourrage d’identifiantsContenu

Fuite chez Companie de Transport Strasbourgeoise

En novembre 2024, la Compagnie des Transports Strasbourgeois (CTS) — opérateur de transport public de Strasbourg — a détecté des connexions frauduleuses sur une centaine de ses quelque 350 000 comptes clients, via une attaque par credential stuffing réutilisant des mots de passe volés lors de fuites externes.

Victim
Companie de Transport Strasbourgeoise
RançongicielContenu

Rançongiciel LockBit contre Royal Mail

Des affiliés de LockBit ont chiffré les systèmes d'exportation internationale de Royal Mail, paralysant tous les services postaux vers l'étranger depuis le Royaume-Uni pendant six semaines. Royal Mail a publiquement refusé la demande de rançon de 65,7 M£ ; LockBit a divulgué progressivement les données exfiltrées.

Victim
Royal Mail International
Loss
$60.0M
Chaîne d’approvisionnementRésolu

Arrêt des chemins de fer danois DSB (chaîne d'approvisionnement Supeo)

Une cyberattaque contre le sous-traitant Supeo l'a contraint à arrêter ses serveurs, désactivant une application mobile dont les conducteurs de train dépendent pour leurs données opérationnelles et immobilisant tous les trains DSB à travers le Danemark pendant plusieurs heures — une perturbation de la chaîne d'approvisionnement de manuel touchant un transport critique.

Victim
DSB (Danske Statsbaner)
Ingénierie socialeContenu

Intrusion Uber par Lapsus$ via ingénierie sociale

Un individu de 18 ans affilié à Lapsus$ a manipulé un sous-traitant d'Uber par ingénierie sociale, a vaincu la MFA grâce à une campagne de bombardement de notifications d'une heure, puis a trouvé des identifiants administrateur codés en dur sur un partage interne qui ont déverrouillé les tableaux de bord AWS, G-Suite, Slack et HackerOne d'Uber.

Victim
Uber Technologies
RançongicielContenu

Rançongiciel « Death Kitty » contre Transnet (Afrique du Sud, 2021)

Une attaque par rançongiciel contre Transnet, l'entreprise logistique publique sud-africaine, a paralysé les opérations des terminaux à conteneurs de Durban, Ngqura, Port Elizabeth et Le Cap, contraignant l'opérateur à déclarer la force majeure. Durban — 60 % du trafic conteneurisé d'Afrique australe — est revenu à un dédouanement papier pendant une semaine.

Victim
Transnet SOC (opérateur public de fret et de ports)
Wiperunresolved

Attaque par wiper « MeteorExpress » contre les chemins de fer iraniens

Un wiper inédit nommé Meteor a paralysé le réseau ferroviaire national iranien, effaçant les ordinateurs des gares, immobilisant et retardant des centaines de trains, et défigurant les panneaux d'affichage avec un numéro à appeler : le bureau du Guide suprême Khamenei.

Victim
Chemins de fer de la République islamique d'Iran (RAI) / Ministère des Routes et du Développement urbain
Fuite de donnéesRésolu

Fuite de données de paiement chez Air Europa

La compagnie aérienne espagnole Air Europa a exposé les coordonnées et les données complètes de cartes de paiement — y compris les codes CVV — d'environ 489 000 clients sur 1,5 million d'enregistrements, et a été condamnée à 600 000 euros d'amende par l'AEPD pour sécurité insuffisante et notification tardive de 41 jours.

Victim
Air Europa
Loss
$648.0K
Records
1.5M
Fuite de donnéesRésolu

Fuite de données Utair (2019)

En août 2020, une fuite de données concernant la compagnie aérienne russe Utair, remontant à l'année précédente, a été révélée. La fuite contenait plus de 400 000 adresses e-mail uniques accompagnées de nombreuses informations personnelles, dont des noms, des adresses postales, des dates de naissance, des numéros de passeport et un programme de fidélité…

Victim
Utair
Records
401.4K
Fuite de donnéesRésolu

Fuite de données MalindoAir (2019)

Début 2019, la compagnie aérienne malaisienne Malindo Air a subi une fuite de données qui a exposé des dizaines de millions d'enregistrements de clients. Comportant 4,3 millions d'adresses e-mail uniques, la fuite a également exposé de nombreuses informations personnelles, notamment des noms, des dates de naissance, des sexes, des adresses postales, des numéros de téléphone et…

Victim
MalindoAir
Records
4.3M
Fuite de donnéesRésolu

Violation de données des passagers de Cathay Pacific

Une intrusion pluriannuelle dans les systèmes informatiques de Cathay Pacific a exposé les données personnelles de 9,4 millions de passagers dans le monde, dont des numéros de passeport et de pièce d'identité, valant à la compagnie aérienne l'amende maximale de 500 000 £ infligée par l'ICO britannique avant le RGPD.

Victim
Cathay Pacific Airways
Loss
$645.0K
Records
9.4M
Chaîne d’approvisionnementRésolu

Vol de données de cartes Magecart chez British Airways

Les opérateurs de Magecart ont injecté un JavaScript de vol de données de cartes dans la page de paiement de British Airways, dérobant les détails de cartes sur 380 000 transactions en 15 jours. L'ICO britannique a d'abord proposé une amende RGPD de 183,4 M£ — ramenée ensuite à 20 M£ après des arguments d'atténuation liés à l'impact du Covid.

Victim
British Airways
Loss
$35.0M
Records
429.0K
Fuite de donnéesRésolu

Violation de données et dissimulation Uber 2016

Des attaquants ont volé les données personnelles de 57 millions de passagers et chauffeurs Uber en octobre 2016. Plutôt que de divulguer l'incident, Uber a versé aux pirates une rançon de 100 000 dollars en la déguisant en prime de bug — une dissimulation qui a entraîné un règlement de 148 millions de dollars avec les États et la condamnation pénale du responsable de la sécurité d'Uber.

Victim
Uber Technologies, Inc.
Loss
$148.0M
Records
57.0M
WiperRésolu

Wiper destructeur NotPetya

Un wiper destructeur déguisé en rançongiciel, propagé via une mise à jour compromise d'un logiciel comptable ukrainien. Estimé à 10 milliards de dollars de dommages dans le monde — la cyberattaque la plus dévastatrice économiquement de l'histoire.

Victim
Utilisateurs de M.E.Doc (Maersk, Merck, FedEx-TNT, Mondelez, Saint-Gobain et autres)
Loss
$10.00B
RançongicielContenu

Ver rançongiciel WannaCry

Un ver rançongiciel nord-coréen qui a exploité la vulnérabilité SMB EternalBlue pour se propager à environ 200 000 systèmes dans 150 pays en 24 heures. Il a paralysé le NHS britannique et mis à genoux l'industrie manufacturière à l'échelle mondiale.

Victim
~200 000 organisations dans le monde (NHS britannique, Telefónica, Renault, Deutsche Bahn, Honda et autres)
Loss
$6.00B
hacktivismRésolu

Piratage de Vietnam Airlines et des aéroports (1937CN)

Des pirates revendiquant le nom 1937CN ont détourné les écrans d'information des vols et les systèmes de sonorisation des principaux aéroports vietnamiens avec des messages anti-Vietnam sur la mer de Chine méridionale, et divulgué les données de 411 000 grands voyageurs de Vietnam Airlines.

Victim
Vietnam Airlines & Vietnamese airports
Records
411.0K