BCD Travel a confirmé avoir détecté une activité suspecte sur l’un de ses comptes internes fin mai 2026. Ce qu’elle s’est abstenue de confirmer publiquement, c’est l’étendue réelle du préjudice. Le groupe de cybercriminels ShinyHunters revendique le vol de plus de 30 gigaoctets de données compressées au sein des systèmes de l’entreprise néerlandaise. En jeu : les informations personnelles de centaines de milliers de voyageurs d’affaires, issus de multinationales et d’administrations publiques clientes à travers le monde.
> Lire aussi : Le vrai risque pour une agence en 2026 ? Ce n’est ni la récession, ni l’IA
Un chantage en deux temps
Le scénario s’est déroulé selon le mode opératoire désormais caractéristique de ShinyHunters comme de la plupart de ces groupes de hackers malveillants : exiger une rançon, imposer une échéance, puis publier les données en cas de refus. Le 29 mai 2026, ledit groupe a diffusé un message sans ambiguïté : « Plus de 700.000 enregistrements Salesforce et diverses données corporate provenant de sites SharePoint ont été compromis. C’est un dernier avertissement pour nous contacter avant le 1er juin 2026, sous peine de fuite des données. Payez ou nous publions. »
BCD Travel n’a pas cédé – ou du moins n’en a pas fait état. Passé le délai fixé, ShinyHunters a exécuté sa menace en mettant en ligne les fichiers volés sur le dark web. Selon Troy Hunt, expert australien en cybersécurité et fondateur de la plateforme Have I Been Pwned, 396.313 adresses e-mail uniques ont ainsi été exposées. Parmi elles, 28% figuraient déjà dans la base de données de la plateforme, signe que leurs propriétaires avaient déjà été victimes d’autres incidents de sécurité par le passé.
Noms, adresses, tickets de support
Au-delà des adresses e-mail, le périmètre de la fuite est considérable. Les données publiées sur le dark web comprennent des noms complets, adresses physiques, numéros de téléphone, intitulés de poste et tickets de support client. Autant d’informations permettant de cibler avec précision des collaborateurs de grandes entreprises, dans des opérations de phishing ou d’usurpation d’identité.
La plateforme spécialisée databreach.com recense pour sa part 803.799 lignes de données liées à cet incident, daté du 28 mai 2026, un volume sensiblement supérieur aux 396.313 adresses e-mail uniques comptabilisées par Troy Hunt, l’écart s’expliquant par la présence de doublons et d’entrées incomplètes dans les fichiers bruts. Outre les données clients, les attaquants affirment avoir exfiltré des informations opérationnelles internes hébergées sur les sites SharePoint de l’entreprise – contrats, documents de travail, renseignements métier. BCD Travel n’a confirmé ni infirmé ces affirmations.
BCD minimise, les clients s’impatientent
La réponse publique de BCD Travel a été mesurée, pour ne pas dire laconique. Dans un communiqué succinct, l’entreprise a confirmé avoir détecté « une activité suspecte » sur un compte interne, précisant avoir engagé des spécialistes externes pour évaluer l’étendue de l’incident, tout en assurant que ses systèmes et ses services fonctionnaient normalement. Elle n’a ni confirmé le nombre de personnes affectées, ni précisé la nature de la rançon exigée.
Selon le média américain The Company Dime, cette posture visant à « éviter toute spéculation » en cours d’investigation a suscité l’impatience de plusieurs clients corporate, qui la jugent insuffisante au regard de la gravité de la situation. Sur le plan légal, BCD Travel USA LLC a procédé à une notification officielle auprès des autorités de l’État du Maine, conformément aux obligations américaines en matière de violation de données personnelles. L’entreprise proposerait en outre aux personnes concernées une année de surveillance du crédit et de protection de l’identité via Experian, spécialiste américain de la gestion de données financières et de la protection des consommateurs.
ShinyHunters, une menace persistante
ShinyHunters n’en est pas à son coup d’essai. Actif depuis plus de six ans, ce groupe de cybercriminels spécialisé dans l’extorsion de données (et non dans le chiffrement des systèmes, comme le font les ransomwares classiques) s’est imposé comme l’un des acteurs les plus prolifiques du cybercrime mondial. Parmi ses victimes récentes : la Commission européenne, le vendeur de billets Ticketmaster, la plateforme éducative Canvas via sa maison mère Instructure. Celle-ci a reconnu avoir réglé la rançon, affirmant que les fichiers avaient ensuite été supprimés – sans que cela soit vérifiable de l’extérieur.
Mais le fait d’armes le plus spectaculaire de ShinyHunters est sans doute celui subi par Odido. La violation des systèmes de l’opérateur télécom néerlandais est décrite par les experts comme la plus grande cyberattaque de l’histoire du pays, ayant exposé les données de plus de six millions de clients après le piège tendu à un employé par un faux site de connexion. Odido avait refusé de payer, et ses données s’étaient retrouvées en ligne. Face à BCD Travel, le groupe a appliqué le même scénario. L’issue est identique : les données sont désormais accessibles sur le dark web.
L’article BCD Travel piratée : 400.000 données clients sur le dark web est apparu en premier sur Déplacements Pros.
Déplacements Pros