Gîtes de France a confirmé avoir été touché par un incident de sécurité qui a entraîné un accès frauduleux à certaines données liées à des dossiers de réservation. Plus de 389 000 clients sont concernés par cette fuite, révélée par French Breaches, dans un dossier qui prolonge une série d’attaques visant le secteur des locations de vacances en France.
L’entreprise dit qu’aucune donnée bancaire n’a pu être collectée et qu’elle informera tous les clients concernés. Les informations exposées s’étendent de 1995 à 2026 et comprennent des noms et prénoms, des dates et le nombre de nuits réservées, ainsi que des adresses e-mail, des numéros de téléphone et des adresses postales. Seuls des clients de certains départements sont visés, dont la Guadeloupe, la Haute-Garonne et le Cantal.
Gîtes de France a indiqué que son prestataire informatique Itea avait été ciblé. Cette société héberge des logiciels utilisés par certains centres départementaux de réservation du réseau. Dans le même temps, les trois plateformes de réservation ont annoncé leur intention de déposer plainte, signe que l’affaire dépasse désormais le seul cadre technique pour entrer sur le terrain judiciaire.
La secousse intervient alors que le secteur du tourisme encaisse coup sur coup plusieurs révélations. Il y a quelques jours, Pierre & Vacances-Center Parcs a reconnu une vaste fuite de données touchant plus de quatre millions de clients sur les vingt dernières années. Belambra a ensuite confirmé une fuite affectant plus de 400 000 personnes. Selon French Breaches, le même homme serait derrière les vols de données visant Pierre & Vacances-Center Parcs, Belambra et Gîtes de France, après avoir dit avoir agi pour gagner en visibilité et montrer à quel point la France est une passoire en matière de cybersécurité.
Le dossier laisse apparaître un angle mort bien plus large que les seules vacances en ligne. Le tourisme semble particulièrement exposé, mais il rejoint aussi d’autres services touchés par des piratages récents. La portée réelle de ces attaques se mesure désormais moins au volume de données volées qu’à la capacité des entreprises concernées à contenir la confiance perdue.
