Cyberattaque Vivaticket : des milliers de sites culturels français paralysés

Selon Libération, Vivaticket, un opérateur de billetterie en ligne pour les musées et sites touristiques français, a été victime d’une cyberattaque massive. L’attaque a coupé l’accès aux réservations de milliers d’institutions culturelles à travers le pays.

Du Louvre-Lens à la Citadelle de Namur en Belgique (d’après Sudinfo), l’onde de choc traverse les frontières.

Nom, prénom, email : ce qui a potentiellement fui

Selon 01net, les données exposées incluent nom, prénom, adresse email et informations liées aux achats de billets. Pas de confirmation, à ce stade, sur une compromission des données bancaires. Mais le silence de Vivaticket sur ce point précis interroge. Aucun communiqué officiel de l’entreprise n’a été publié sur son site. La CNIL, de son côté, ne mentionne aucune saisine liée à cet incident dans ses actualités récentes (consultées via cnil.fr).

Ce qui frappe, c’est l’ampleur. Des milliers de musées, monuments et parcs dépendent de ce prestataire unique pour leurs ventes en ligne. Un calcul rapide, basé sur des estimations éditoriales : si Vivaticket équipe ne serait-ce que 3 000 sites culturels français (estimation cohérente avec l’expression « milliers » utilisée par 01net), et que chaque site enregistre en moyenne 10 000 visiteurs par an ayant acheté un billet en ligne (estimation éditoriale), on atteint déjà 30 millions de profils potentiellement exposés. Le chiffre de « millions de clients impactés » avancé sur les réseaux sociaux ne relève donc pas de la pure exagération.

Une dépendance qui coûte cher

L’incident révèle surtout la vulnérabilité d’un secteur culturel français concentré sur un nombre restreint de prestataires. Vivaticket, Ticketmaster, Fnac Spectacles, Digitick : quelques noms se partagent l’essentiel du marché. Mais combien d’institutions utilisent Vivaticket exactement ? Quelle part de marché représente-t-il face à ses concurrents ? Ces chiffres, cruciaux pour mesurer l’ampleur réelle de la crise, restent introuvables. Ni Vivaticket, ni les institutions culturelles concernées n’ont communiqué de données précises.

Ce silence est d’autant plus gênant que, chaque jour, de nouvelles institutions communiquent pour alerter leurs visiteurs, histoire de limiter les dégâts réputationnels. Mais sans coordination, sans chiffres, sans calendrier de rétablissement annoncé, l’impression qui domine est celle d’un secteur pris de court. On appréciait déjà la fragilité des infrastructures numériques publiques, comme nous l’analysions dans notre article sur la fin du chiffrement Instagram. Avec Vivaticket, c’est la culture qui découvre sa dépendance à un tiers privé.

Reste une question simple : quand le service sera-t-il rétabli ? Aucune réponse. Quelle est la nature exacte de l’attaque (ransomware, vol de données, DDoS) ? Silence. Y a-t-il eu une demande de rançon ? Mystère. Dans l’intervalle, des milliers de musées vendent leurs billets à l’ancienne, au guichet, en espérant que les visiteurs ne se découragent pas.