Skip to content
hacker_posts

Carvivo confirme une fuite : 15 millions d'automobilistes exposés

Carvivo, plateforme SaaS pour concessions auto, confirme une exposition non autorisée via URL. Revendication sur dark web : 15 M de personnes, 5 M d'immatriculations, 1 706 concessions.

Publié le 5 min de lecture
fuitecarvivoautomobilesaasfrance

La société française Carvivo, éditrice d'une plateforme SaaS de gestion des prospects pour les concessions automobiles, a confirmé le 4 juin 2026 une exposition non autorisée de données via certaines URL accessibles sans autorisation. La revendication, publiée la veille sur un forum cybercriminel et relayée par FrenchBreaches puis Cyberattaque.org, porte sur 15 millions de personnes, 5 millions d'immatriculations et 1 706 concessions en France et en Europe. L'éditeur indique être en cours de notification auprès de la CNIL.

Périmètre revendiqué

Selon les inventaires publiés par les deux observatoires francophones, la base mise en circulation contient :

  • Plus de 15 millions de personnes uniques (prospects et clients).
  • Environ 3,2 millions d'adresses e-mail uniques.
  • Plus de 5 millions de plaques d'immatriculation avec données véhicule associées.
  • 1 706 concessions et garages référencés.
  • Historique commercial, commentaires internes des vendeurs, véhicules recherchés (prix, kilométrage), notes de relance et suivi de dossier.

La fenêtre temporelle revendiquée court de 2017 à 2026, soit près de neuf années d'activité commerciale agrégées dans le périmètre exposé. Renault, Volkswagen et Peugeot figurent en tête des marques représentées dans les échantillons publiés, à proportion de leur part de marché en France.

Le vecteur tel que confirmé

La formulation officielle de Carvivo — « exposition non autorisée de données via les URL signalées » — telle que rapportée publiquement par FrenchBreaches après contact direct, désigne un défaut de contrôle d'accès côté application web : des ressources accessibles sans contrôle d'autorisation à qui connaît l'URL ou en devine la structure. C'est la même classe de faille que l'IDOR (CWE-639) déjà observée sur le portail ANTS en avril 2026 et sur le portail franchisés Optic 2000 fin mai. La rédaction tient pour acquise la formulation publique de l'éditeur mais ne dispose d'aucune confirmation indépendante du détail technique exact à ce stade.

L'attaquant n'a pas été nommé publiquement. Aucune revendication de chiffrement ni de demande de rançon n'a été rapportée — le mode opératoire visible est celui d'une revente de base sur forum, pas d'un rançongiciel.

Statut

  • Côté éditeur : Carvivo confirme l'incident, indique poursuivre ses investigations et être en cours de notification CNIL.
  • Côté revendication : la base est publiée sur un forum cybercriminel, échantillons à l'appui ; l'authenticité globale et l'intégrité du périmètre annoncé restent à vérifier au-delà des extraits diffusés.
  • Côté constructeurs et concessions : pas de communication publique connue à la date de ce billet des marques nommées dans les échantillons ni des têtes de réseau de concessions.

Que faire

  1. Concessions et garages utilisant Carvivo : présumer les identifiants vendeurs et administrateurs exposés, rotation immédiate, activation du MFA partout où la plateforme le permet. Demander à l'éditeur la liste exhaustive des URL concernées et la chronologie précise de l'exposition.
  2. Particuliers ayant rempli un formulaire de contact ou un devis sur un site de concession entre 2017 et 2026 : présumer que coordonnées (nom, e-mail, téléphone), véhicule recherché et historique d'échanges peuvent être en circulation. Activer une vigilance accrue sur les sollicitations commerciales et les tentatives de fraude au véhicule (faux vendeurs, faux acomptes).
  3. Constructeurs concernés (Renault, Volkswagen, Peugeot et autres) : auditer les flux de prospects remontés de Carvivo vers leurs CRM internes et qualifier le risque de propagation. Le mass-merge des bases prospects vers les outils internes a pu dupliquer des données aujourd'hui exposées dans des systèmes tiers.
  4. DSI éditeurs SaaS du même profil (B2B2C, formulaires multi-sites, exports PDF) : auditer chaque endpoint qui prend un identifiant en URL et renvoie une ressource pour vérifier que l'autorisation est contrôlée à chaque requête, pas seulement à l'ouverture de session. C'est le contrôle de base de l'OWASP API Security Top 10 (BOLA/IDOR).
  5. Notification CNIL : le seuil de gravité (catégorie particulière de données limitée mais volume massif) impose le respect strict du délai de 72 heures. Documenter la chronologie d'apprentissage et les mesures correctives en parallèle de la déclaration.

Contexte

C'est la deuxième fuite massive revendiquée sur le SaaS B2B français en moins de deux semaines, après Optic 2000 (7 898 PDF de facturation franchisés via IDOR, 24 mai) et dans la continuité de Krys (200 000 clients, 4 juin). Le profil des cibles est constant : éditeurs SaaS B2B2C français, plateformes multi-clients hébergeant des données personnelles agrégées sur plusieurs années, avec un cycle de durcissement applicatif manifestement décalé par rapport au rythme d'accumulation des données. La taille du périmètre Carvivo — plus de 1 700 concessions clientes, neuf années d'activité — fait basculer cet incident dans la catégorie des fuites multi-tenants à effet réseau : ce n'est pas la sécurité de Carvivo seule qui est en cause, c'est celle de chaque concession qui a externalisé sa base prospects sans audit indépendant de l'hébergeur.

La leçon structurelle vaut au-delà de l'automobile. Tout SaaS qui agrège des millions d'identités sur des années est un actif Tier-0 pour ses clients, qu'ils le sachent ou non. La revue annuelle des contrats de sous-traitance article 28 RGPD doit inclure, à minima, un test d'autorisation indépendant des endpoints exposant des ressources nominatives. La défense périmétrique seule ne couvre pas une URL devinable.

Carvivo devra publier dans les jours qui viennent le calendrier d'exposition précis, la liste des URL impactées et le périmètre exact des champs concernés pour permettre aux concessions clientes de cadrer leur propre notification. La rédaction met à jour ce billet dès la communication officielle.

Articles liés