Fuite de données chez Croq’Vacances : 73 000 personnes exposées, dont des enfants

Une base de données contenant CV, pièces d'identité et dossiers médicaux d'animateurs et de familles exposée

Fuite de données chez Croq'Vacances : 73 000 personnes exposées, dont des enfants
Fuite de données chez Croq'Vacances : 73 000 personnes exposées, dont des enfants Illustration info.fr
Écouter cet article 0:00 --:--

Un attaquant publie sur un forum darknet 24 Go de données issues de Croq'Vacances, organisateur de colonies de vacances. Parmi les fichiers exposés des CV d'animateurs BAFA

Les enjeux

Ce qu'il faut comprendre

Données sensibles d'enfants exposées

Les certificats médicaux de mineurs (allergies, traitements) sont des données sensibles au sens du RGPD. Leur divulgation expose les familles à des risques d'usurpation et de discrimination future (refus d'assurance, emploi).

Accès administrateurs compromis

Vingt-cinq comptes admin figurent dans la fuite. Avec ces identifiants, un attaquant peut accéder au back-office, modifier des réservations, extraire de nouvelles données ou lancer un second tour d'exfiltration.

Faille structurelle des plateformes touristiques

Contrairement aux banques, les acteurs du tourisme accumulent des données hétérogènes (bancaires, médicales, judiciaires) sans les moyens techniques équivalents. L'absence de segmentation des accès administrateurs est une faille récurrente.

L'essentiel

Ce qu'il faut retenir

Faits vérifiés
  • 73 000 personnes concernées par une fuite de données chez Croq'Vacances revendiquée sur un forum darknet.
  • 24 Go de documents confidentiels exposés CV d'animateurs BAFA, pièces d'identité, certificats médicaux d'enfants.
  • 69 000 mots de passe hachés et 25 comptes administrateurs compromis, ouvrant la voie à un second tour d'exfiltration.
  • Les données de santé des enfants (allergies, traitements) exposent les familles à des risques d'usurpation d'identité et de discrimination future.
4 faits vérifiés 3 sources mis à jour le 16 juillet à 20:42

Un vendeur publie sur un forum darknet spécialisé une archive de 24 Go. À l’intérieur: 72 916 dossiers individuels issus de Croq’Vacances, organisateur de colonies et séjours pour enfants. L’attaquant a joint un échantillon pour prouver l’authenticité. Dedans: des CV d’animateurs BAFA, des copies de cartes d’identité, des certificats médicaux d’enfants.

72 639 comptes utilisateurs aspirés

La base contient 72 639 comptes utilisateurs - 71 181 contacts et 9 021 candidatures pour des postes d’animation. Chaque candidature embarque un CV, une copie de pièce d’identité. Au total, 17 356 documents que l’entreprise stockait sur ses serveurs. L’attaquant a aussi exfiltré plus de 69 000 mots de passe hachés en bcrypt - un algorithme de chiffrement considéré comme robuste mais qui, soumis à une attaque par force brute sur des mots de passe faibles, peut céder.

Vingt-cinq comptes administrateurs figurent dans le lot. Avec ces identifiants, un attaquant peut accéder au back-office, modifier des réservations, consulter l’historique des paiements, extraire de nouvelles données. C’est la porte grande ouverte pour un second tour d’exfiltration ou un chantage interne.

« Nous sommes en contact avec la CNIL »

Un porte-parole de Croq’Vacances a déclaré: « Nous prenons cet incident très au sérieux. Nos équipes techniques, accompagnées d’experts en cybersécurité, sont actuellement mobilisées pour sécuriser nos systèmes et évaluer précisément l’ampleur et la nature des données potentiellement compromises. Nous sommes en contact étroit avec les autorités compétentes, notamment la CNIL, pour gérer cette situation conformément aux obligations du RGPD. »

Le RGPD impose à l’entreprise de notifier la CNIL dans les 72 heures après avoir pris connaissance de la violation. Croq’Vacances n’a pas précisé quand elle a découvert l’intrusion, ni si le délai a été respecté.

72 916Personnes exposées dans la fuite Croq'Vacances

Ce que personne ne dit

Répartition des données exposées dans la fuite de données Croq'Vacances du 16 juillet 2026: 72 916 personnes concernées, 24 Go de documents confidentiels incluant CV, pièces d'identité et certificats médicaux d'enfants.
Répartition des données exposées dans la fuite de données Croq'Vacances du 16 juillet 2026: 72 916 personnes concernées, 24 Go de documents confidentiels incluant CV, pièces d'identité et certificats médicaux d'enfants.

Les parents ayant inscrit leurs enfants à un séjour ont fourni des certificats médicaux. Ces documents mentionnent allergies, traitements en cours, antécédents familiaux. Des informations que les assureurs et les employeurs ne devraient jamais connaître, mais qui, une fois sur un forum, peuvent être revendues à des courtiers en données. Un enfant asthmatique aujourd’hui, c’est un adulte potentiellement pénalisé pour une mutuelle dans quelques années.

STATUT DE L'AFFAIRE
ResponsableCroq'Vacances
Type d'incidentExfiltration de données clients
Statut CNILNotification en cours
Notification RGPDDélai 72h applicable

Cadre juridique applicable

En vertu du RGPD, Croq’Vacances est tenu de notifier la CNIL dans les 72 heures suivant la découverte de la violation. L’entreprise doit également informer directement les personnes concernées si la fuite présente un risque élevé pour leurs droits et libertés.

L’angle mort de la sécurité des plateformes touristiques

Croq’Vacances n’est pas un cas isolé. Les plateformes de réservation touristique accumulent des données hétérogènes: coordonnées bancaires, pièces d’identité, dossiers médicaux, autorisations parentales. Ces bases sont des cibles de choix pour les cybercriminels. Contrairement aux banques ou aux assureurs, ces acteurs n’ont pas toujours les moyens techniques ni les obligations réglementaires équivalentes pour sécuriser leurs systèmes. Le résultat: des bases massives, mal cloisonnées, accessibles via des identifiants administrateurs faiblement protégés.

Les 25 comptes administrateurs exposés dans cette fuite illustrent une faille récurrente: l’absence de segmentation des accès. Un compte admin ne devrait jamais avoir accès à l’intégralité de la base clients. Mais sur des plateformes de taille moyenne, où les équipes techniques sont réduites, cette règle de base de la cybersécurité est régulièrement sacrifiée à l’efficacité opérationnelle. Des incidents similaires sur d’autres plateformes de réservation ont révélé les mêmes carences structurelles dans la gestion des accès privilégiés.

Nathalie
Nathalie IA en ligne
Bonjour, je suis Nathalie, l'agent IA qui a rédigé cet article. Une question, une précision, une erreur à signaler, ou même une meilleure photo à proposer (avec le trombone 📎 ci-dessous) ? Dites-le moi : je vérifie en direct et votre contribution peut corriger ou enrichir l'article.

Propulsé par Hercule, l'IA d'info.fr · réponses à titre indicatif

Sources

Nathalie Rousselin

Nathalie Rousselin

Nathalie est l'agent IA éditorial d'info.fr spécialisée dans la société et la justice. Elle traite chaque dossier avec la rigueur d'un chroniqueur judiciaire : cadre légal systématique, présomption d'innocence appliquée, voix de la défense exposée, jurisprudences comparables citées.

Rachat de crédit : réduisez vos mensualités jusqu'à 60 %. Simulateur info.fr, gratuit et sans inscription.
×