Pourquoi cette fuite est-elle particulièrement dangereuse ?

Parce que la combinaison nom + téléphone + dates de séjour + logement permet des arnaques de phishing extrêmement crédibles (faux SMS de confirmation, fausse libération de logement, faux remboursement). Elle indique aussi à un cambrioleur quand votre domicile est vide. Le rapprochement avec la fuite de la Fédération Française de Tir (octobre 2025) est instructif : ces données avaient été suivies de cambriolages ciblés et de vols d'armes à feu.

Comment réduire les risques cet été ?

Quatre réflexes : inscrire son domicile à l'Opération Tranquillité Vacances (OTV) auprès de la police ou de la gendarmerie ; activer un plan voisins et amis (relever boîte aux lettres, simuler une présence, visites aléatoires) ; ne JAMAIS cliquer sur un lien dans un SMS ou un mail évoquant votre réservation, mais revenir sur le site officiel ; vérifier directement par téléphone toute demande inhabituelle (annulation, libération de logement, remboursement).

Accueil » Fuite Pierre & Vacances : phishing et cambriolages cet été

05/06/2026

Fuite Pierre & Vacances : phishing et cambriolages cet été

Q: Qu'est-ce qui a fuité chez Pierre & Vacances et Center Parcs ?

Le 15 mai 2026, un pirate connu sous le pseudo ChimeraZ a revendiqué la fuite de données concernant environ 4,5 millions de client·es actuels et anciens du groupe Pierre & Vacances et Center Parcs, soit 1,6 million de réservations et près de 39 000 résidences ou hébergements. Les données diffusées incluent les numéros de dossier, les logements réservés, les dates exactes de séjour, les noms et dates de naissance des occupants, les numéros de téléphone, l'historique des séjours et les commentaires laissés. Selon le groupe, aucune donnée bancaire ni adresse e-mail n'aurait été collectée.

Cyber & vie privée · Mai 2026

4,5 millions de client·es du groupe Pierre & Vacances et Center Parcs ont été exposé·es par une fuite revendiquée le 15 mai 2026. Pas seulement des noms : aussi vos dates exactes de séjour, votre logement et votre numéro de téléphone. Soit la combinaison parfaite pour des arnaques par SMS très crédibles et pour signaler à un cambrioleur que vous serez loin de chez vous.

Ce qui s'est passé

Le 15 mai 2026, un pirate connu sous le pseudonyme ChimeraZ a revendiqué sur un forum cybercriminel la mise à disposition d'une base de données extraite des systèmes du groupe Pierre & Vacances et Center Parcs. Le groupe a confirmé l'incident quelques jours plus tard.

L'attaque aurait exploité une vulnérabilité de type IDOR (Insecure Direct Object Reference) : une faille classique mais sévère qui permet à un utilisateur authentifié de consulter des données d'autres utilisateurs en manipulant simplement des identifiants dans les requêtes. Ce type de faille ne suppose aucun exploit sophistiqué : une connexion légitime suffit, et tout l'historique des réservations devient accessible.

Les chiffres clés

4,5 MClients exposés

1,6 MRéservations

~39 000Hébergements

≈ 1 GoDonnées JSON

Quelles données sont sorties ?

D'après les revendications et les analyses publiques, le jeu de données inclut :

Identité : noms et dates de naissance des occupant·es ;
Contact : numéros de téléphone ;
Réservation : numéro de dossier, logement précis, dates exactes de séjour ;
Historique : séjours antérieurs et commentaires laissés.

Le groupe affirme qu'aucune donnée bancaire ni adresse e-mail n'aurait pu être collectée. Cette absence ne réduit pas le risque : pour les usages criminels qui suivent, le téléphone et les dates sont les éléments les plus précieux.

Plusieurs marques opérées ou distribuées par le groupe sont citées comme exposées dans la base : Center Parcs, Pierre & Vacances, Adagio, Maeva, Départ 18:25, Odalys, Lagrange Vacances, Flower Campings, Sandaya, Belambra, Goelia. Si vous avez réservé un séjour via l'une de ces enseignes ces dernières années, considérez que vos données peuvent figurer dans la fuite et ajustez vos réflexes en conséquence.

Avertissement : les données circulent actuellement sur des forums cybercriminels et probablement sur Telegram, comme cela avait été le cas pour la fuite de la Fédération Française de Tir. Elles vont être croisées avec d'autres bases (LinkedIn, annuaires, registres publics) pour bâtir des cibles personnalisées.

Le rapprochement avec la fuite FFTir

Ce schéma rappelle de très près la fuite de la Fédération Française de Tir survenue en octobre 2025, qui avait exposé les données d'environ 250 000 adhérent·es actuels et 750 000 anciens (état civil, adresse postale, mail, téléphone). Quelques semaines après cette fuite, plusieurs licencié·es avaient été victimes d'agressions et de vols d'armes à feu à leur domicile. Un suspect de 18 ans avait été interpellé à Aubervilliers, soupçonné d'avoir revendu les données sur Telegram.

Les deux fuites partagent trois propriétés qui changent la nature du risque :

Elles fournissent une identité complète + des coordonnées directes ;
Elles permettent de cibler les bons profils (licencié·es FFTir = potentielle détention d'armes ; vacancier·es = absence prolongée à dates précises) ;
Elles autorisent une approche par SMS ou téléphone, beaucoup plus crédible qu'un e-mail générique.

Les 4 risques concrets à anticiper cet été

Risque 1

Phishing personnalisé par SMS

Le scénario le plus probable et le plus dangereux. Un SMS qui reprend votre nom, votre numéro de dossier et vos dates de séjour est crédible immédiatement.

« Bonjour M./Mme [Nom], votre séjour du [date] à [résidence] nécessite une confirmation de paiement. Cliquez ici pour éviter l'annulation »

Risque 2

Fausse libération de logement

Une variante plus pernicieuse : vous êtes contacté·e quelques jours avant le séjour pour une « libération anticipée » moyennant remboursement. Le lien capture vos coordonnées bancaires.

« Suite à un sinistre, votre logement [n°] est indisponible. Indiquez votre RIB pour le remboursement express »

Risque 3

Cambriolage ciblé du domicile

Vos dates de séjour permettent à un tiers de savoir précisément quand votre résidence principale est vide. Couplé à votre adresse (croisée avec annuaire ou réseaux sociaux), c'est un signal directement exploitable.

Le risque vu sur la fuite FFTir : cambriolages ciblés et vols d'armes quelques semaines après la diffusion.

Risque 4

Ingénierie sociale par téléphone

Un appel « du service client » qui connaît votre dossier obtient facilement des informations supplémentaires (CB, mot de passe envoyé par SMS). Le ton sera professionnel, les éléments seront vrais.

« Bonjour, je suis du service réservation pour votre séjour du [date] au [logement]. Pour valider votre arrivée, pouvez-vous me communiquer le code reçu par SMS ? »

Si vous êtes (ou pensez être) concerné·e

Pas de panique, mais quelques réflexes immédiats :

Méfiance absolue sur tout SMS, mail ou appel évoquant un séjour, un remboursement, une libération de logement ou une confirmation. Ne cliquez jamais sur le lien. Revenez sur le site officiel via votre navigateur, ou appelez le numéro client présent dans votre confirmation de réservation initiale.
Pas de communication de codes reçus par SMS, jamais. Aucune entreprise légitime ne vous demandera votre code OTP par téléphone.
Surveillez vos comptes bancaires : même si le groupe affirme qu'aucune donnée bancaire n'a fuité, croisée à d'autres sources, votre profil peut servir à des tentatives de fraude.
Conservez les SMS et mails suspects : ils pourront servir si vous déposez plainte.
Signalez les tentatives sur Cybermalveillance.gouv.fr et au portail PHAROS pour les contenus frauduleux.

Pour rappel, le groupe doit lui-même avoir notifié l'incident à la CNIL sous 72 heures, comme l'impose le RGPD (voir notre FAQ déclaration CNIL en cas de fuite de données).

Comment limiter les risques cet été

La fuite est un fait. Ce qui se joue maintenant, c'est votre dispositif de précaution pendant l'absence. Quatre leviers complémentaires.

Levier 1 : inscrire votre domicile à l'OTV

L'Opération Tranquillité Vacances (OTV) est un service gratuit de la police et de la gendarmerie nationale. Une fois inscrit·e, les forces de l'ordre intègrent votre domicile dans leurs tournées de surveillance pendant votre absence.

Quand : inscription possible jusqu'à 45 jours à l'avance ;
Date limite : 3 jours avant le départ si vous dépendez de la police, la veille si vous dépendez de la gendarmerie ;
Où : en commissariat, en brigade, ou via le téléservice en ligne sur service-public.gouv.fr ;
À qui : tout au long de l'année, pas seulement pendant les vacances scolaires.

Levier 2 : activer un plan voisins et amis

C'est le levier le plus puissant et le plus sous-utilisé. Un domicile qui semble habité ne déclenche pas de tentative.

Votre plan voisins et amis cet été

Confier la clé à un·e voisin·e de confiance, qui passe une fois par jour à un horaire variable
Faire relever le courrier et les colis tous les 2 à 3 jours (une boîte qui déborde signale l'absence)
Demander à un·e voisin·e de garer occasionnellement sa voiture devant chez vous
Programmer des lampes connectées sur des plages horaires aléatoires (pas toujours 19h-22h)
Laisser un chargeur, des chaussons, un magazine récent visibles, comme si vous étiez là
Convenir d'un canal de communication d'urgence (téléphone, signal voisin, Bitchat sur site)
Donner la consigne de ne JAMAIS répondre aux questions d'inconnus sur la durée de votre absence
Demander à un·e ami·e de venir passer une nuit ou deux pendant la période la plus longue

Levier 3 : verrouiller le périmètre numérique

Mettre en pause la géolocalisation publique sur les réseaux sociaux ;
Éviter les stories temps réel qui annoncent que vous êtes loin (publier au retour) ;
Désactiver les confirmations vocales sur la messagerie qui annoncent votre absence prolongée ;
Filtrer les inconnus sur WhatsApp et Telegram (un message direct de « la résidence » sur ces canaux est très probablement frauduleux).

Levier 4 : sécuriser le logement physiquement

Vérifier les fermetures : serrures, fenêtres, volets, garage. Une porte vitrée mal verrouillée est la première cible.
Mettre à l'abri les objets de valeur ou les transporter avec vous si possible. Pour les armes (si vous êtes licencié·e d'un club de tir), suivre les recommandations spécifiques de la FFTir.
Couper l'eau et le gaz pour les longues absences (et limiter les dégâts en cas d'intrusion).
Ne pas afficher sur le tableau d'annonces de l'immeuble votre absence ou vos coordonnées de séjour.

Vue d'ensemble : les bons réflexes en un tableau

Sujet	Réflexe à avoir	Réflexe à éviter
SMS / mail sur réservation	Revenir sur le site officiel ou appeler le numéro client	Cliquer sur un lien, même si le contenu paraît exact
Appel « service client »	Raccrocher et rappeler le numéro officiel	Donner un code reçu par SMS, un mot de passe, un RIB
Logement principal	OTV + plan voisins + signes de présence	Annoncer son absence sur les réseaux sociaux
Données déjà fuitées	Surveiller, signaler, conserver les preuves	Ignorer le problème en attendant l'incident
Cellule familiale	Briefer enfants, ado·es, conjoint·es sur les arnaques en cours	Penser que « ça ne nous arrivera pas »

Ce que cette fuite nous dit, plus largement

La cybersécurité n'est plus un sujet d'expert. Quand un opérateur touristique majeur expose 4,5 millions de personnes parce qu'une faille IDOR n'a pas été corrigée, ce sont des familles entières qui héritent d'un risque pendant leur été. Les organisations qui collectent des données personnelles à grande échelle ont une responsabilité directe sur la sécurité de leurs client·es, et leurs client·es doivent désormais intégrer la culture du risque dans leur quotidien.

Ce sujet rejoint un thème central que nous portons chez Twist : la culture du risque n'est pas qu'une affaire d'organisation. Elle se diffuse dans les foyers, dans les familles, dans les voisinages. Préparer son été, c'est aussi préparer une réponse collective à des menaces qui dépassent largement l'écran.

À retenir : on ne peut pas effacer les données déjà sorties. On peut en revanche réduire massivement les conséquences en activant OTV + plan voisins + vigilance phishing + verrouillage numérique. Quatre gestes simples, à mettre en œuvre dès cette semaine si vous partez d'ici cet été.

Sources publiques :

Questions connexes

Qu'est-ce qui a fuité chez Pierre & Vacances et Center Parcs ?

Le 15 mai 2026, un pirate sous le pseudo ChimeraZ a revendiqué la fuite de données concernant environ 4,5 millions de client·es actuels et anciens du groupe, soit 1,6 million de réservations et près de 39 000 hébergements. Les données incluent les noms, dates de naissance, numéros de téléphone, dossiers, logements, dates de séjour exactes et historiques. Selon le groupe, aucune donnée bancaire ni adresse e-mail n'aurait été collectée.

Pourquoi cette fuite est-elle dangereuse même sans données bancaires ?

Parce que la combinaison nom + téléphone + dates exactes + logement permet de bâtir des arnaques par SMS extrêmement crédibles, et indique précisément quand un domicile sera vide. La fuite FFTir d'octobre 2025 a déjà été suivie de cambriolages ciblés et de vols d'armes chez plusieurs licencié·es.

Comment limiter les risques cet été ?

Quatre leviers : inscrire son domicile à l'Opération Tranquillité Vacances (OTV), activer un plan voisins et amis (relève courrier, signes de présence), être vigilant·e sur tout SMS ou appel évoquant la réservation (ne jamais cliquer, rappeler le numéro officiel), et verrouiller son périmètre numérique (pas de stories temps réel, pas de géoloc publique).

Qu'est-ce que l'Opération Tranquillité Vacances ?

L'OTV est un service gratuit de la police et de la gendarmerie nationale. Une fois inscrit·e, les forces de l'ordre intègrent votre domicile à leurs tournées de surveillance. L'inscription est possible toute l'année, jusqu'à 45 jours à l'avance, en commissariat, en brigade ou via le téléservice en ligne.

Quel lien avec la fuite de la Fédération Française de Tir ?

Les deux fuites partagent un schéma proche : identité complète + coordonnées + élément ciblant (détention potentielle d'armes pour la FFTir, dates d'absence pour les résidences de vacances). Dans le cas FFTir, les semaines suivant la fuite ont vu plusieurs licencié·es victimes d'agressions et de vols d'armes à feu à leur domicile. Le rapprochement n'est pas spéculatif : c'est un signal d'alerte concret.

Faut-il porter plainte ?

Pas systématiquement avant d'avoir subi un préjudice. En revanche, conservez les SMS, mails et numéros suspects. Si vous êtes victime d'une tentative ou d'une fraude, déposez plainte sur le service en ligne du ministère de l'Intérieur ou directement en commissariat / gendarmerie, et signalez sur Cybermalveillance.gouv.fr et PHAROS.

Pour aller plus loin

FAQ

Déclaration CNIL sous 72h

Ce qu'une organisation doit faire en cas de fuite.

FAQ

7 actions cyber première heure

Le pas à pas pour une PME victime.

Référence

Culture du risque

Une culture qui se diffuse jusqu'au foyer.

Article

Cyberattaque : pas qu'un sujet IT

Webinaire avec Alfa-Safety et Nantes@Hack.

Diffuser ces réflexes dans votre organisation ?

30 minutes pour cadrer une sensibilisation collaborateur·rices avant l'été : arnaques en cours, plans de protection du domicile, réflexes face aux SMS et appels suspects. Gratuit et sans engagement.

Échanger avec un consultant →

Pour aller plus loin

Twist met à disposition le fruit de ses réflexions et recherches sur la culture du risque, des ressources documentaires et propose aussi des événements.