Fuite de données chez Croq’Vacances : 73 000 personnes exposées, dont des enfants
Une base de données contenant CV, pièces d'identité et dossiers médicaux d'animateurs et de familles exposée
Un attaquant publie sur un forum darknet 24 Go de données issues de Croq'Vacances, organisateur de colonies de vacances. Parmi les fichiers exposés des CV d'animateurs BAFA
Les enjeux
Ce qu'il faut comprendre
Données sensibles d'enfants exposées
Les certificats médicaux de mineurs (allergies, traitements) sont des données sensibles au sens du RGPD. Leur divulgation expose les familles à des risques d'usurpation et de discrimination future (refus d'assurance, emploi).
Accès administrateurs compromis
Vingt-cinq comptes admin figurent dans la fuite. Avec ces identifiants, un attaquant peut accéder au back-office, modifier des réservations, extraire de nouvelles données ou lancer un second tour d'exfiltration.
Faille structurelle des plateformes touristiques
Contrairement aux banques, les acteurs du tourisme accumulent des données hétérogènes (bancaires, médicales, judiciaires) sans les moyens techniques équivalents. L'absence de segmentation des accès administrateurs est une faille récurrente.
L'essentiel
Ce qu'il faut retenir
- 73 000 personnes concernées par une fuite de données chez Croq'Vacances revendiquée sur un forum darknet.
- 24 Go de documents confidentiels exposés CV d'animateurs BAFA, pièces d'identité, certificats médicaux d'enfants.
- 69 000 mots de passe hachés et 25 comptes administrateurs compromis, ouvrant la voie à un second tour d'exfiltration.
- Les données de santé des enfants (allergies, traitements) exposent les familles à des risques d'usurpation d'identité et de discrimination future.
Un vendeur publie sur un forum darknet spécialisé une archive de 24 Go. À l’intérieur: 72 916 dossiers individuels issus de Croq’Vacances, organisateur de colonies et séjours pour enfants. L’attaquant a joint un échantillon pour prouver l’authenticité. Dedans: des CV d’animateurs BAFA, des copies de cartes d’identité, des certificats médicaux d’enfants.
72 639 comptes utilisateurs aspirés
La base contient 72 639 comptes utilisateurs - 71 181 contacts et 9 021 candidatures pour des postes d’animation. Chaque candidature embarque un CV, une copie de pièce d’identité. Au total, 17 356 documents que l’entreprise stockait sur ses serveurs. L’attaquant a aussi exfiltré plus de 69 000 mots de passe hachés en bcrypt - un algorithme de chiffrement considéré comme robuste mais qui, soumis à une attaque par force brute sur des mots de passe faibles, peut céder.
Vingt-cinq comptes administrateurs figurent dans le lot. Avec ces identifiants, un attaquant peut accéder au back-office, modifier des réservations, consulter l’historique des paiements, extraire de nouvelles données. C’est la porte grande ouverte pour un second tour d’exfiltration ou un chantage interne.
« Nous sommes en contact avec la CNIL »
Un porte-parole de Croq’Vacances a déclaré: « Nous prenons cet incident très au sérieux. Nos équipes techniques, accompagnées d’experts en cybersécurité, sont actuellement mobilisées pour sécuriser nos systèmes et évaluer précisément l’ampleur et la nature des données potentiellement compromises. Nous sommes en contact étroit avec les autorités compétentes, notamment la CNIL, pour gérer cette situation conformément aux obligations du RGPD. »
Le RGPD impose à l’entreprise de notifier la CNIL dans les 72 heures après avoir pris connaissance de la violation. Croq’Vacances n’a pas précisé quand elle a découvert l’intrusion, ni si le délai a été respecté.
Ce que personne ne dit
Les parents ayant inscrit leurs enfants à un séjour ont fourni des certificats médicaux. Ces documents mentionnent allergies, traitements en cours, antécédents familiaux. Des informations que les assureurs et les employeurs ne devraient jamais connaître, mais qui, une fois sur un forum, peuvent être revendues à des courtiers en données. Un enfant asthmatique aujourd’hui, c’est un adulte potentiellement pénalisé pour une mutuelle dans quelques années.
Cadre juridique applicable
En vertu du RGPD, Croq’Vacances est tenu de notifier la CNIL dans les 72 heures suivant la découverte de la violation. L’entreprise doit également informer directement les personnes concernées si la fuite présente un risque élevé pour leurs droits et libertés.
L’angle mort de la sécurité des plateformes touristiques
Croq’Vacances n’est pas un cas isolé. Les plateformes de réservation touristique accumulent des données hétérogènes: coordonnées bancaires, pièces d’identité, dossiers médicaux, autorisations parentales. Ces bases sont des cibles de choix pour les cybercriminels. Contrairement aux banques ou aux assureurs, ces acteurs n’ont pas toujours les moyens techniques ni les obligations réglementaires équivalentes pour sécuriser leurs systèmes. Le résultat: des bases massives, mal cloisonnées, accessibles via des identifiants administrateurs faiblement protégés.
Les 25 comptes administrateurs exposés dans cette fuite illustrent une faille récurrente: l’absence de segmentation des accès. Un compte admin ne devrait jamais avoir accès à l’intégralité de la base clients. Mais sur des plateformes de taille moyenne, où les équipes techniques sont réduites, cette règle de base de la cybersécurité est régulièrement sacrifiée à l’efficacité opérationnelle. Des incidents similaires sur d’autres plateformes de réservation ont révélé les mêmes carences structurelles dans la gestion des accès privilégiés.
