Le secteur touristique français vient de subir un important revers en matière de sécurité informatique. Odalys Vacances, un acteur majeur de l’hébergement touristique, avec 20 000 appartements, 40 hôtels, 40 chalets, 3 000 mobil-homes répartis dans plus de 400 résidences en France, Corse, Italie, Espagne, et Croatie, et accueillant annuellement 2 millions de vacanciers, se retrouve confronté à un grave problème de sécurité informatique. Cette entreprise a été la cible d’une cyberattaque orchestrée par le groupe de pirates informatiques connu sous le nom de Cactus.
Groupe Odalys : ici
Cactus a récemment révélé l’attaque contre Odalys, un incident survenu il y a quelques semaines, mais qui ne vient que d’être rendu public. Début de semaine, de nombreux échantillons de données volées ont été publiés sur le darkweb, révélant ainsi l’ampleur de l’attaque. Ces pirates sont connus pour avoir ciblé auparavant une soixantaine d’entreprises dans divers secteurs.
Curieusement, Cactus, jusqu’alors plutôt orienté vers des entreprises anglophones, s’est récemment tourné vers des cibles en Belgique et en France, dont Odalys Groupe. En réponse à cette situation, le service de presse d’Odalys a confirmé l’incident et indiqué que des agences expertes en cybersécurité avaient déjà fourni un rapport d’analyse. Ce rapport confirme l’accès restreint à certaines données internes mais ne relève pas de preuves concrètes de fuite de données externes. Cependant, nous avons eux accès à 548 go de données et données sensibles d’ODALYS ce qui contredit en partie cette déclaration.
La CNIL a été alertée par Odalys de cette violation, qui note qu’aucune demande de rançon n’a été formulée par les pirates. Cette attaque souligne la vulnérabilité croissante du secteur touristique aux cyberattaques, comme en témoignent plusieurs incidents récents impliquant d’autres entreprises touristiques.
Un détail révélateur de la gravité de cette attaque est la disponibilité d’un index détaillé sur le dark web, listant des documents et dossiers spécifiques d’Odalys, allant de la comptabilité aux données personnelles des clients et employés. Cela démontre non seulement l’étendue de la violation, mais aussi le niveau de sophistication et de planification derrière l’attaque de Cactus.
Cette situation met en lumière l’importance cruciale de la cybersécurité dans le secteur du tourisme, un domaine souvent sous-estimé en termes de risques numériques. Elle soulève également des questions importantes sur la protection des données personnelles et la nécessité pour les entreprises de tous les secteurs de renforcer leurs mesures de sécurité informatique pour prévenir de telles intrusions.
L’une des preuves les plus alarmantes de la cyberattaque subie par Odalys Vacances est la publication d’un volume considérable de données sur le site du groupe Cactus, spécialisé dans le piratage informatique. Ce contenu, totalisant environ 548 Go, illustre l’ampleur de la violation de données. Il comprend divers types de documents, allant des archives internes, des bilans financiers, des données de comptabilité, jusqu’aux informations personnelles des clients et des employés.
Le contenu mis en ligne inclut des dossiers tels qu’ARCHIVES SERVICES FINANCES, ASSURANCE HABITATION, des fichiers comme des bilans annuels (de 2017 à 2023), des archives internes bancaires, et des documents relatifs à la comptabilité sociale et aux comptes bancaires. Ces fichiers comprennent également des factures, des détails sur les fournisseurs, des données sur la paie, et des informations liées à la gestion des clients et des résidences.
La disponibilité publique de ces données sur le darkweb pose un risque majeur de fraude et d’exploitation malveillante. Non seulement cela soulève des inquiétudes quant à la sécurité des informations financières de l’entreprise, mais cela expose aussi les données personnelles des clients et des employés à des risques de vol d’identité et d’autres formes de cybercrimes.
Ce tableau résume certaines des catégories de données qui pourraient être disponibles sur Internet suite à cette fuite :
| Catégorie de Données | Exemple de Contenu |
|---|---|
| Archives Internes | Bilans financiers, comptabilité |
| Informations Personnelles | Dossiers clients et employés |
| Données Bancaires | Archives internes bancaires |
| Facturation et Comptabilité | Factures, comptabilité sociale |
| Gestion des Résidences | Informations sur les résidences et clients |
| Documents Légaux et Administratifs | Contraventions, gestion des fournisseurs |
