
Huit mois. C’est le temps qui s’est écoulé entre la détection de l’intrusion et les premières notifications adressées aux clients. En octobre 2025, Trenitalia détecte ce qu’elle décrit comme une tentative de cyberattaque conduite par des tiers non identifiés. L’accès non autorisé à sa plateforme de vente et de gestion des titres de transport n’est cependant confirmé et, surtout, communiqué que bien plus tard.
Ce n’est en effet que ce 26 juin, que Trenitalia Italie commence à informer les voyageurs concernés. Quatre jours après, le 30 juin, Trenitalia France emboîte le pas et notifie ses clients hexagonaux, saisissant dans le même temps la Commission nationale de l’informatique et des libertés (CNIL).
Pour justifier ce délai entre détection et notification, l’opérateur invoque la complexité des investigations menées : « Afin d’identifier précisément les personnes potentiellement concernées, nos équipes informatiques ont dû réaliser des analyses techniques et de sécurité approfondies. Ces investigations ont pris du temps car elles ont impliqué la reconstruction détaillée de tout accès non autorisé aux données », explique-t-il dans son courrier aux clients. Le Parquet de Rome a par ailleurs été saisi d’une plainte, et l’autorité italienne de protection des données a été notifiée. Les auteurs de l’attaque, eux, demeurent non identifiés à ce stade.
Des données très personnelles
L’incident porte exclusivement sur des données liées aux titres de transport, selon Trenitalia. Parmi les éléments potentiellement exposés figurent l’état civil du voyageur (nom, prénom, date de naissance), ses coordonnées (adresse e-mail, numéro de téléphone), ainsi que des données de voyage précises : itinéraire, date et heure du trajet, numéro du titre de transport et type d’offre ou de service associé.
Dans certains cas, des informations liées à une carte de fidélité, à un employeur ou à un document d’identité pourraient également avoir été compromises. Sur ce point, Trenitalia apporte une précision très importante : les identifiants et mots de passe de connexion, de même que les données bancaires (numéro de carte, date d’expiration et cryptogramme) n’ont pas été touchés. C’est une distinction rassurante qui ne dissipe pas pour autant toute inquiétude : la combinaison état civil, coordonnées de contact et détails précis d’un voyage réel constitue un matériau de choix pour concevoir des attaques d’hameçonnage particulièrement ciblées.
Le spectre du phishing
La menace principale n’est donc pas le risque de fraude bancaire immédiate, mais la fabrication de leurres d’une crédibilité redoutable. Armé du nom d’un voyageur, de son adresse e-mail, de son numéro de téléphone et, surtout, des détails exacts d’un trajet réel (date, itinéraire, numéro de billet), un cybercriminel peut construire des messages parfaitement contextualisés.
Un faux remboursement, une prétendue vérification de billet, un soi-disant problème de réservation : autant de prétextes qui, adossés aux données réelles du client, peuvent tromper même les utilisateurs les plus alertes. Tout message – e-mail, SMS ou appel téléphonique – mentionnant Trenitalia ou une réservation et s’accompagnant d’un lien ou d’une demande d’information doit donc être traité avec la plus grande méfiance. Trenitalia France rappelle par ailleurs ne jamais solliciter de données bancaires ou d’identifiants de connexion par voie électronique ou téléphonique.
> Lire aussi : Le vrai risque pour une agence en 2026 ? Ce n’est ni la récession, ni l’IA
Des précédents
L’incident de juin 2026 n’est pas le premier à toucher le groupe ferroviaire public Ferrovie dello Stato (FS), dont Trenitalia est la principale filiale. En mars 2022, Trenitalia et Rete Ferroviaria Italiana (RFI) avaient subi une attaque par rançongiciel qui avait désorganisé la vente de billets dans les gares italiennes. Puis en novembre 2025, c’est FS Italiane qui se retrouvait indirectement exposée, cette fois via une brèche chez son prestataire informatique Almaviva : un hacker revendiquait alors le vol de 2,3 téraoctets de données, une partie ayant été diffusée sur un forum du dark web.
Ces épisodes répétés dessinent le portrait d’un groupe confronté à une menace persistante mais qui ne lui est pas spécifique. L’ensemble du secteur du voyage est frappé par la même dynamique : en mai 2026, la société de gestion de voyages d’affaires BCD Travel a par exemple subi un vol massif de données, exposant les informations personnelles de plusieurs centaines de milliers de voyageurs d’affaires à travers le monde.
> Lire aussi : BCD Travel piratée : 400.000 données clients sur le dark web
Ce que Trenitalia propose
Face à l’incident, Trenitalia France a mis en place plusieurs dispositifs à destination des clients potentiellement affectés. Une ligne d’assistance dédiée a été ouverte accessible en semaine jusqu’au 31 juillet 2026. Des mesures de sécurisation technique et de surveillance renforcée ont par ailleurs été déployées sur les systèmes concernés. La CNIL a été notifiée, conformément aux obligations du règlement général sur la protection des données (RGPD), qui impose aux organisations de signaler toute violation de données personnelles à l’autorité compétente dans les 72 heures suivant leur prise de connaissance.
Les clients n’ayant pas encore reçu de notification directe mais estimant être concernés sont invités à contacter la ligne dédiée (09 74 91 90 05) ou les canaux officiels de l’opérateur. Dans l’attente des conclusions de l’enquête pénale en cours, une vigilance renforcée s’impose pour tous ceux qui ont voyagé avec Trenitalia et dont les données pourraient circuler sur le dark web à leur insu.
L’article Cyberattaque : des données de voyageurs Trenitalia exposées depuis 8 mois est apparu en premier sur Déplacements Pros.
Déplacements Pros
