Un palace LVMH des Maldives, 75 855 scans de passeports, et un moteur de recherche pirate
Vendredi 6 mai 2026. Le média cyber ZATAZ révèle qu'un palace ultra-luxe lié au groupe LVMH, le Cheval Blanc Randheli aux Maldives, fait l'objet d'une fuite de données revendiquée par le groupe de pirates Aur0ra.
Le contenu du leak est vertigineux : 75 855 scans de passeports, étalés de janvier 2015 à octobre 2024.
Les pirates ont même mis en ligne un moteur de recherche dédié dans le darkweb pour rendre l'exploitation des données plus rapide et plus ciblée, et ce que cette affaire raconte vraiment, ce n'est pas l'histoire d'un palace. C'est celle de toute entreprise qui photocopie une pièce d'identité.
Ce que les pirates revendiquent avoir volé
75 855
scans de passeports (2015-2024)
Selon ZATAZ, ces fichiers correspondraient à environ 20 000 à 30 000 clients uniques. Chaque scan contient la page d'identité complète : photo, nom, date de naissance, nationalité, numéro de passeport et zone de lecture automatique (ZATAZ, mai 2026).
Le second bloc du leak vient d'Opera PMS, le logiciel de gestion hôtelière utilisé par une grande partie de l'industrie. Les pirates revendiquent 30 000 à 50 000 profils clients exfiltrés : noms, adresses, nationalités, classifications VIP, données partielles de cartes bancaires, dépôts, historiques de séjour, vols et préférences personnelles (ZATAZ, mai 2026).
Attention
À ce jour, ces volumes sont revendiqués par le groupe Aur0ra et relayés par ZATAZ et FrenchBreaches. Ils n'ont pas fait l'objet d'une confirmation publique du Cheval Blanc ou de LVMH. Ce qui ne les rend pas moins exploitables par d'autres pirates.
Pourquoi votre PME est concernée, même sans être un palace
Vous n'avez pas 46 villas ni de clientèle royale. Mais si votre activité scanne ou photocopie une pièce d'identité, vous gérez le même type de données que le Cheval Blanc, à plus petite échelle :
- les hôtels indépendants, résidences de tourisme, campings et gîtes,
- les conciergeries et gestionnaires Airbnb professionnels,
- les agences immobilières (location et transaction),
- les concessions automobiles premium et les loueurs longue durée,
- les coworkings, clubs privés et salles de sport haut de gamme.
Critique
Un scan de passeport est une donnée biométrique enrichie : il permet l'usurpation d'identité, l'ouverture de comptes bancaires, la création de fausses entreprises, le contournement des contrôles KYC.
La taille de votre entreprise ne vous protège pas. La nature de la donnée détermine sa valeur sur le darkweb.
3 mécaniques de risque que cette affaire expose
| Mécanique | Ce qui se passe | Conséquence pour la PME |
|---|---|---|
| Stockage prolongé | Des scans gardés 9 ans alors qu'ils n'ont plus d'utilité légale. | Surface d'attaque qui grossit chaque mois sans contrepartie. |
| Accès aux outils métier | Compromission du PMS, du CRM, du logiciel de réservation. | Vol massif et industriel, pas un dossier à la fois. |
| Diffusion organisée | Création d'un moteur de recherche darkweb pour exploiter le leak. | Réutilisation par des dizaines d'autres pirates, sur la durée. |
Le vrai sujet, ce n'est pas l'outil. C'est le geste.
Aucun pare-feu n'empêche un employé d'enregistrer une copie de passeport sur le bureau d'un poste partagé. Aucun antivirus ne supprime à votre place les scans qui dorment dans une boîte mail depuis quatre ans.
L'attaque commence rarement par un exploit technique sophistiqué. Elle commence par un mot de passe réutilisé, un fichier joint ouvert, une session non verrouillée à la réception.
La cybersécurité d'une PME se joue à l'endroit exact où la technologie s'arrête : la décision humaine.
Ce que vous pouvez faire dès lundi matin
Quatre actions concrètes, applicables sans budget ni RSSI :
- Auditer vos stockages : combien de copies de pièces d'identité dorment dans vos boîtes mail, vos drives, vos serveurs ? Supprimez tout ce qui n'a plus de base légale.
- Définir une durée de conservation et l'écrire dans une procédure courte que votre équipe applique vraiment.
- Sensibiliser par mise en situation, pas par diaporama : un collaborateur qui a vécu un faux phishing détecte le vrai dix fois mieux qu'un collaborateur qui a lu une note.
- Préparer le scénario "fuite confirmée" : qui appelle qui, qui notifie la CNIL dans les 72 heures imposées par l'article 33 du RGPD (CNIL, article 33 RGPD).
La cybersécurité ne se décrète pas. Elle s'entraîne.
ROOMCA permet d'y répondre, en plaçant vos collaborateurs dans des situations réelles de fuite, de phishing et d'usurpation, pour qu'ils apprennent à réagir avant qu'un Aur0ra ne les y oblige.
Questions fréquentes
Combien de scans de passeports ont été volés au Cheval Blanc Randheli ?
Le groupe de pirates Aur0ra revendique le vol de 75 855 scans de passeports, couvrant la période de janvier 2015 à octobre 2024, correspondant à environ 20 000 à 30 000 clients uniques selon leur estimation (ZATAZ, mai 2026).
Mon hôtel ou mon agence sont-ils légalement obligés de scanner les passeports ?
Le scan ou la photocopie d'une pièce d'identité n'est pas systématiquement obligatoire et doit reposer sur une base légale claire (vérification d'âge, obligation sectorielle, lutte anti-blanchiment). En l'absence de fondement précis, la simple consultation visuelle suffit souvent. Vérifiez votre obligation réelle auprès de la CNIL.
Que faire si je découvre une fuite de données dans mon entreprise ?
L'article 33 du RGPD impose au responsable de traitement de notifier la CNIL dans les 72 heures suivant la prise de connaissance de la violation, dès lors qu'elle présente un risque pour les droits et libertés des personnes (CNIL, article 33 RGPD). Une notification initiale incomplète vaut mieux qu'une notification tardive.
Combien de temps faut-il garder une copie de pièce d'identité d'un client ?
La règle RGPD : pas plus longtemps que nécessaire au regard de la finalité du traitement. Pour la plupart des usages hôteliers et locatifs, cela se compte en semaines ou en mois après la fin de la prestation, pas en années. Une durée de 9 ans comme celle revendiquée dans l'affaire Cheval Blanc Randheli est juridiquement très difficile à justifier.
Sources :
- Cheval Blanc Randheli, le luxe face à la fuite, ZATAZ (Damien Bancal), mai 2026.
- Fiche d'alerte Cheval Blanc Randheli, FrenchBreaches, mai 2026.
- Article 33 du RGPD - Notification à l'autorité de contrôle d'une violation de données, CNIL.
- Violations de données personnelles : les règles à suivre, CNIL.
