Skip to content
hacker_posts

Autosur de retour sur le darkweb : 63 000 contrôles techniques fuités

ChimeraZ et Misere revendiquent une base de 63 000 contrôles techniques Autosur, 211 Mo, environ 20 000 propriétaires, publiée le 16 juin 2026. Pas de réponse officielle d'Autosur à ce stade.

Publié le 5 min de lecture
fuiteautosurchimerazmisere

Le 16 juin 2026, les pseudonymes ChimeraZ et Misere ont co-revendiqué, sur un forum cybercriminel, une base de données attribuée à Autosur, l'un des principaux réseaux français de centres de contrôle technique automobile. Le lot représente 63 000 enregistrements de contrôles techniques réalisés dans plusieurs centres du réseau, pour un volume de 211 Mo. Les auteurs estiment la couverture à environ 20 000 propriétaires de véhicules. Le signalement primaire chez cyberattaque.org recense les éléments du lot, et la presse spécialisée automobile chez Auto Infos confirme l'incident côté trade. Aucune communication d'Autosur n'a été identifiée à ce stade.

Ce qui est exposé

Selon les échantillons publiés et les analyses des deux sources françaises, la base contient les rapports complets de contrôle technique, avec à la fois la couche métier et la couche administrative :

  • Identité du véhicule : plaque d'immatriculation, marque, modèle, version, kilométrage relevé.
  • Identité du propriétaire : nom, prénom, coordonnées issues du dossier d'enregistrement du contrôle.
  • Détail des opérations : points contrôlés, défauts constatés, contre-visites éventuelles, verdict.
  • Identité des contrôleurs techniques ayant réalisé l'inspection — donnée qui sort du seul périmètre client.
  • Métadonnées de centre : identifiant de centre, horodatage des contrôles.

La présence simultanée de l'identité des contrôleurs et du rapport technique détaillé indique un export issu du système métier interne plutôt qu'un sous-ensemble client orienté communication.

Statut de l'attribution

L'attribution est revendiquée par deux pseudonymes — ChimeraZ et Misere — qui apparaissent ensemble sur cette opération. ChimeraZ est associé à une série revendiquée de fuites visant l'immobilier français depuis mai 2026 (Capifrance, Homepad, Krys, Propriétés Privées, Leboncoin Immobilier, Immofacile). Misere est l'acteur revendiquant les fuites récentes côté secteur public (Tchap, JeVeuxAider, RATP). La co-revendication est nouvelle pour ce couple de pseudonymes.

Aucune affiliation à un groupe ransomware identifié n'est revendiquée. Le mode opératoire — revendication sur forum, échantillon publié, vente en cryptomonnaie — est cohérent avec un opportunisme cybercriminel et non avec une opération sponsorisée. Cette lecture reste à confirmer par les investigations.

L'authenticité globale du lot n'est pas indépendamment confirmée. Aucune communication d'Autosur, aucune notification CNIL publique ne valide à ce stade le périmètre exact.

Périmètre du risque

Pour les 20 000 propriétaires potentiellement concernés, la combinaison plaque + identité + adresse + détail du véhicule est un kit fonctionnel d'hameçonnage automobile ciblé :

  • Faux courriers de contre-visite, de rappel constructeur ou de rappel CT, avec données techniques exactes.
  • Tentatives d'usurpation d'identité du véhicule lors d'opérations administratives en ligne (carte grise, déclaration de cession).
  • Phishing assureur, avec verdict de contrôle utilisé comme prétexte de réévaluation tarifaire.

Pour les contrôleurs techniques dont l'identité figure dans le lot, le risque est différent : usurpation pour signer de faux rapports, sollicitations directes par des acteurs cherchant un contrôle complaisant, atteinte à la réputation professionnelle.

Que faire

  1. Propriétaires de véhicule passé en CT Autosur récemment : considérer comme suspect tout courrier ou email mentionnant un contrôle, une contre-visite ou un rappel constructeur reçu sans déclenchement de leur part. Vérifier toute demande via l'espace client officiel et jamais via un lien reçu.
  2. DSI Autosur : la double présence de la couche client et de la couche contrôleur dans le même lot pointe vers une exfiltration depuis le système métier, et non vers un export marketing ou CRM. Audit prioritaire des accès au backend de gestion des contrôles, des connecteurs sortants vers les centres, et des comptes prestataires avec droits de lecture étendus.
  3. Centres du réseau : vérifier les journaux d'accès aux 30 derniers jours. Un export de 63 000 contrôles laisse une trace réseau exploitable.
  4. CNIL : la notification est obligatoire dans les 72 h suivant la prise de connaissance pour Autosur en tant que responsable de traitement. L'information des personnes est requise si le risque pour les droits et libertés est élevé — ce qui est le cas avec rapport technique + identité véhicule + identité propriétaire dans le même dump.
  5. Assureurs et concessionnaires : tout signalement entrant prétendant émaner d'un client Autosur doit être recoupé par canal authentifié avant exécution.

Contexte

C'est la deuxième fuite Autosur revendiquée en quinze mois. En mars 2025, Autosur avait confirmé une intrusion ayant donné lieu à une mise en vente sur le darknet d'une base de près de 11 millions de clients (noms, adresses, emails, numéros d'immatriculation, mots de passe chiffrés), couverte par largus.fr et notifiée à la CNIL.

L'incident de juin 2026 est à rapprocher du dump Carvivo (15 millions d'automobilistes) revendiqué quelques jours plus tôt par le même profil d'acteur. Le secteur automobile français — concessions, contrôle technique, plateformes CRM client — est devenu un terrain régulier pour les revendications de fuites en 2026. Les CRM tiers et les systèmes métier de contrôle exposent une combinaison de données techniques (plaque, véhicule) et personnelles (propriétaire, contrôleur) qui rend chaque fuite immédiatement exploitable pour de l'hameçonnage ciblé sectoriel — ce qui explique probablement la cadence.

Articles liés