Croq'Vacances : 72 916 dossiers de séjours enfants revendiqués
Le 14 juillet, une revendication publiée via FrenchBreaches attribue à Croq'Vacances 72 916 personnes exposées : NIR, cartes d'identité, dossiers médicaux d'enfants.
Une revendication publiée entre le 14 et 16 juillet 2026 sur le canal FrenchBreaches attribue à Croq'Vacances, opérateur français de séjours pour enfants et adolescents, une compromission portant sur 72 916 personnes uniques. Le décompte est repris par ZATAZ et par la synthèse hebdomadaire d'info.fr, qui recense sept revendications sur le même compte en 48 heures. À la date de publication, Croq'Vacances n'a pas communiqué sur l'incident, et aucune notification CNIL n'est publique.
Ce qui est revendiqué
D'après les échantillons publiés et repris par ZATAZ, la base contient :
- 72 639 comptes utilisateurs.
- 71 181 contacts.
- 9 021 candidatures (contexte : Croq'Vacances recrute chaque saison ses équipes d'animation).
- 17 356 documents téléversés pour un total d'environ 24 Go : CV, diplômes, pièces d'identité, certificats de vaccination, photographies.
- 1 730 dossiers médicaux complets.
- 1 728 numéros de Sécurité sociale (NIR).
- 1 713 références de cartes nationales d'identité.
La spécificité du dossier tient à la nature du fichier client : Croq'Vacances organise des séjours pour mineurs, ce qui l'oblige à collecter en inscription une documentation médicale (allergies, traitement en cours, PAI) et administrative (autorisation parentale, copie de pièce d'identité, attestation d'assurance) qui, une fois compromise, expose des mineurs et non des majeurs consentants.
Statut de l'attribution
La revendication n'est pas confirmée par Croq'Vacances. Ce que l'on peut dire à ce stade :
- La publication sur FrenchBreaches revendique explicitement Croq'Vacances comme source.
- Les échantillons rendus publics présentent une structure cohérente avec un back-office d'inscription à des séjours pour enfants.
- Aucun vecteur d'accès (application web, prestataire d'hébergement, base marketing tierce) n'est documenté publiquement.
Comme pour les précédentes revendications relayées par FrenchBreaches ces dernières semaines (voir notamment 1001Coques – ChimeraZ le 6 juillet et Federation Française d'Équitation), le délai entre la revendication et une confirmation officielle par l'entreprise concernée varie de quelques heures à plusieurs semaines.
Que faire
- Parents ayant inscrit un enfant chez Croq'Vacances — considérer les documents fournis à l'inscription comme potentiellement compromis. NIR, copie de pièce d'identité, dossier médical de l'enfant, autorisation parentale : la combinaison est un kit d'usurpation d'identité prêt à l'emploi, et sur mineur — donc utilisable pendant des années sans que la victime en ait connaissance.
- Surveiller les tentatives de contact ciblées cet été. Les enfants revendiqués sont majoritairement inscrits pour des séjours en cours ou à venir. La combinaison prénom de l'enfant + nom du parent + adresse + numéro de téléphone + date du séjour est un scénario de phishing parfait : faux appel du centre (« changement de départ »), faux SMS d'assurance annulation, faux mail réclamant un complément de règlement.
- NIR d'enfant exposé : signaler auprès des services concernés dès que la CPAM ouvre une procédure « NIR compromis ». Un NIR ne se change pas, mais un signalement CPAM permet de tracer les demandes anormales (ouverture de compte Ameli, changement d'adresse, changement de RIB pour remboursements). Voir la fiche CNIL sur l'usurpation d'identité.
- Équipes Croq'Vacances et son sous-traitant technique — communication publique et notification CNIL relèvent de l'article 33 RGPD. Le délai de 72 heures court depuis la connaissance de la compromission. Une revendication étayée publiquement fait courir ce délai que la brèche soit confirmée ou non.
- Vérifier les journaux d'export applicatif et d'accès administrateur sur les 90 derniers jours. Un export de 24 Go de documents téléversés laisse une trace côté stockage : requêtes API en volume, sessions administrateur inhabituelles, dumps de base. C'est le point d'entrée du post-mortem si la compromission se confirme.
Le contexte
Croq'Vacances n'est pas un incident isolé. Selon les décomptes croisés par ZATAZ et info.fr, le compte FrenchBreaches a revendiqué sept incidents entre le 14 et le 16 juillet 2026, exposant au total plus de 200 000 personnes en 48 heures. Parmi les autres cibles annoncées : EVA esport (70 424 comptes revendiqués après exploitation d'une API GraphQL), la Fédération des Centres Sociaux (~35 000 enregistrements) et une base attribuée à Accor (162 437 lignes clients plus un accès revendiqué au VPN interne).
La séquence prolonge la tendance observée depuis avril 2026 sur les organisations françaises liées au tourisme et aux loisirs — voir notamment Krys : 200 000 clients revendiqués par ChimeraZ, premier maillon d'une chaîne de bases tourisme et loisirs mises en vente publiquement ce trimestre. Le point spécifique du dossier Croq'Vacances est le profil des victimes : ce sont majoritairement des mineurs, et les documents exposés sont ceux qu'un parent fournit en toute confiance à un opérateur qu'il pense soumis à un cahier des charges Jeunesse et Sports strict. Ce cahier des charges couvre l'organisation des séjours, pas la sécurité du système d'information de l'opérateur — l'écart entre ce que les parents pensent contrôler et ce qui a été effectivement exposé est le sujet à part entière.