Pierre et Vacances-Center Parcs fait face à une fuite de données qui touche plus de 4,5 millions de clients actuels et anciens. L’incident porte sur 1,6 million de réservations enregistrées sur La France du Nord au Sud, une plateforme rattachée à Maeva (filiale de Pierre et Vacances-Center Parcs), avec un historique qui pourrait remonter jusqu’à dix ans, comme le rapporte Le Parisien.
Les informations compromises ne relèvent pas seulement de la réservation elle-même. Le périmètre comprend le numéro de réservation, les dates et lieux de séjour, les noms des occupants, leurs numéros de téléphone, leurs dates de naissance ainsi que des commentaires liés aux options choisies (comme la télévision ou la climatisation)
Pierre et Vacances-Center Parcs précise toutefois qu’aucune donnée bancaire ni adresse e-mail n’ont été récupérées. Le groupe affirme aussi que la faille a été identifiée puis corrigée.
Une faille exploitée pendant plusieurs semaines
L’attaque repose sur une vulnérabilité de type IDOR (Insecure Direct Object Reference). En pratique, le pirate a obtenu un accès frauduleux en usurpant des droits d’accès depuis la plateforme de réservation, jusqu’à atteindre les bases visées. Une fois cet accès obtenu, l’exfiltration s’est faite par la méthode du scraping, c’est-à-dire via un outil chargé d’aspirer les informations affichées. L’opération est restée active discrètement pendant plusieurs semaines.
Le groupe indique avoir été informé de l’incident le 14 mai 2026. Il insiste aussi sur le fait que la faille concerne La France du Nord au Sud et non directement les enseignes Pierre et Vacances et Center Parcs.
Pierre et Vacances-Center Parcs a déposé plainte contre X et a a notifié l’incident à la CNIL. La réponse judiciaire et réglementaire est donc déjà enclenchée, en parallèle de la correction technique annoncée.
De nombreuses cyberattaques en France
Cette affaire s’ajoute à une série d’attaques qui touchent aussi bien des fédérations sportives que des opérateurs comme Free ou des groupes hôteliers comme Logis Hôtels France et Brit Hotel. Mi-avril, l’ANTS, qui gère les demandes de pièces d’identité, a également subi une cyberattaque massive portant sur 12 millions de particuliers et de professionnels.
Plus largement, plusieurs rapports d’entreprises de cybersécurité placent la France parmi les pays les plus ciblés, qu’il s’agisse de vols de données ou d’attaques menées via des logiciels malveillants.
