Dimanche matin. Ma mère m’appelle, paniquée. Elle a reçu un SMS : quelqu’un aurait utilisé sa carte chez Castorama pour une somme conséquente. Il y a un lien pour faire opposition si ce n’est pas elle, et un numéro pour appeler. Elle jure ses grands dieux qu’elle n’a rien acheté chez Castorama.

Des tentatives de phishing par SMS, j’en reçois plusieurs par jour. Je sais les gérer, je ne m’inquiète plus. Mais ma mère, c’est différent. Je suis le seul contact administratif qu’on lui attribue à l’extérieur. Ça a dû lui tomber dessus par malchance, probablement. Je la rassure, bien sûr il n’y a pas de débit frauduleux, mais elle insiste pour que je vérifie quand même. C’est en parcourant son interface bancaire que je tombe sur un entrefilet discret : la banque alerte sur l’envoi de fausses cartes bancaires à domicile, accompagnées d’un QR code frauduleux. Je note, j’y reviendrai.

Le midi, au milieu du repas dominical, la question tombe, posée comme une évidence : « T’as vu pour Pierre et Vacances ? On y est allé quand vous étiez petits. » Ma mère y voit des souvenirs. Moi j’y vois des emmerdes. Et en changeant légèrement l’angle, une quantité industrielle d’opportunités pour les mauvaises personnes.

La France est devenue un eldorado pour la cybercriminalité

Champions du monde, mais on ne s’en vantera pas. Selon Surfshark, la France est au deuxième rang mondial des violations de données au premier trimestre 2026, avec 23,5 millions de comptes compromis en trois mois. C’est plus du double du trimestre précédent. Deuxième mondial, juste derrière les États-Unis qui comptent six fois plus d’habitants. En proportion de la population, on est premiers. Le pays s’est transformé en passoire et les cybercriminels l’ont parfaitement compris.

Les fuites se succèdent à un rythme qui n’étonne plus personne, on se croirait au tirage du Keno ou du Rapido. L’ANTS, Free, Cegedim Santé, l’URSSAF… et maintenant Pierre & Vacances via sa filiale Maeva, et Belambra. Sauf que là, les gros chiffres, ce ne sont pas tes gains : ce sont tes pertes. 1,6 million de réservations d’un côté, 402 000 personnes de l’autre dont 360 000 enfants enregistrés dans les dossiers. Et selon le hacker lui-même, jusqu’à vingt ans d’historique de réservations dans la nature.

Ce que ces données permettent que les autres fuites ne permettaient pas

Ce n’est pas la première fuite, ce ne sera pas la dernière. Mais celle-ci a quelque chose de particulier : elle expose ton absence.

Tu te souviens peut-être de l’époque, pas si lointaine, où tous les experts de sécurité conseillaient de ne jamais poster ses photos de vacances en temps réel sur les réseaux. La raison était simple : des bots écumaient Instagram et Facebook pour constituer des fichiers de logements vides, avec adresses et fenêtres de vulnérabilité. Si tu ne postais pas, tu restais en sécurité.

La règle ne tient plus. Ce n’est plus toi qui as donné l’information, c’est ton prestataire de vacances qui l’a laissée fuiter.

Et ces informations, c’est tout ce dont des cambrioleurs organisés ont besoin : où et quand tu pars, combien de temps et avec combien de personnes. Plus besoin de te surveiller, tout était déjà dans la base de données.

On peut aller encore plus loin. Ces réservations constituent une segmentation que les professionnels du marketing rêvent d’avoir. Belambra, Center Parcs, Pierre & Vacances : ce ne sont pas les mêmes budgets, pas les mêmes profils, pas les mêmes cibles. La durée de séjour, le nombre d’occupants, la récurrence des réservations d’une année sur l’autre, tout cela dessine un portrait économique précis de chaque famille et de ses habitudes. Un portrait que les cybercriminels peuvent monétiser directement, sans aucune contrainte RGPD. Eux se foutent éperdument de la durée légale de conservation des données. Plus c’est vieux, plus c’est complet, plus c’est utile. Youpi.

Dans les milieux qui traitent ces fichiers volés, les profils se classent et se vendent par niveau d’intérêt. Les plus rentables, ceux qui cumulent budget élevé, absence longue et foyer bien équipé, partent en premier et au meilleur prix. Tout le monde veut le profil premium. Et pour cette saison, la matière ne manquera pas.

Je serai curieux de voir les statistiques des cambriolages en fin d’année. Si j’avais une réservation chez l’un de ces groupes, je changerais les dates.

Le quishing, ou comment le phishing est sorti du numérique

Revenons à l’entrefilet de dimanche matin. Cette arnaque à la fausse carte bancaire, c’est exactement la même logique poussée un cran plus loin. Les cybercriminels ont longtemps travaillé derrière leurs écrans, à envoyer des emails et des SMS. Ils ont compris que le courrier postal inspire encore une confiance que le SMS a perdue, alors ils investissent le monde physique.

Le principe s’appelle le quishing, contraction de QR code et phishing. Tu reçois chez toi une enveloppe soignée, aux couleurs de ta banque. À l’intérieur, une nouvelle carte bancaire, visuellement convaincante, parfois avec puce et bande magnétique. Le courrier joint t’explique qu’il faut l’activer, soit parce que la tienne expire bientôt, soit parce qu’un problème de sécurité a été détecté sur ton compte. Avec tout ce qui est sorti ces derniers mois, le prétexte est facile à rendre crédible. Si les escrocs sont habiles, ils te disent même qu’ils t’ont upgradé vers la carte gold, la black, la platinum. Cadeau. Scanne le QR code pour l’activer.

Ce geste est devenu un réflexe. On scanne sans réfléchir, comme on scanne le menu du restaurant. Et on atterrit sur une copie parfaite du site de sa banque, qui demande identifiants, mot de passe, parfois les codes SMS de validation. Si tu n’as pas activé l’authentification à double facteur, le compte est accessible immédiatement. Une fausse carte coûte quelques euros à produire, et pour vider un compte c’est très rentable. Le modèle économique tient, et il va continuer de tenir.

Comme je l’expliquais dans les articles sur la fuite de l’ANTS (article 1 et article 2 du 21 avril 2026), les groupes qui opèrent dans ce secteur ont des retours sur investissement suffisamment élevés pour financer des opérations élaborées. Ils investissent parce que ça rapporte. La qualité de l’enveloppe, la précision du timing, la carte qui ressemble à s’y méprendre à la tienne : tout ça se paye, et surtout tout ça se rentabilise.

La frontière a bougé

Ce qui relie l’arnaque à la fausse carte et les fuites des groupes touristiques, c’est la même irruption dans le réel. La cybercriminalité ne se cantonne plus à ton écran. Elle fracture ta porte, glisse une enveloppe dans ta boîte aux lettres et connaît ton agenda mieux que tes voisins.

C’est dur et injuste de subir quand la faute ne vient pas de nous. Que peut-on faire ? Vigilance, partout et tout le temps, même si ce n’est plus une vie, même si on y perd l’insouciance. Elle reviendra quand nous aurons recommencé à tisser des liens avec nos voisins et à prendre soin les uns des autres.

En attendant : double authentification partout, parce que c’est aujourd’hui le niveau de sécurité minimum que tu dois avoir en étant sur Internet. Et une bonne protection sur ordinateurs et téléphone. Un truc pro, même si ça coûte un peu. T’es mieux de pleurer pour le coût de ta protection que de pleurer parce qu’on t’a tout pris, c’est pas la même quantité de larmes.

Sache juste que pour activer ta carte bancaire, ça se passe TOUJOURS dans un distributeur ou chez un commerçant. JAMAIS avec un QR code à scanner.

Promis, pour le prochain article, j’essaierai de venir avec un sujet moins sombre.

Chuut les habitués, spoilez pas ! Y’a pas de sujets légers ici.

---