Skip to content
hacker_posts

Digit RE Group : ChimeraZ revendique 3,46 M de personnes côté maison-mère

Le 24 juin, ChimeraZ publie une base attribuée au groupe Digit RE : 3,46 M de personnes, 2,99 M d'enregistrements, 6,3 Go. Capifrance, Optimhome et Drimki concentrent l'essentiel.

Publié le 4 min de lecture
fuitechimerazdigit-re-groupimmobilierfrance

Le 24 juin 2026 en soirée, le compte ChimeraZ publie sur un forum cybercriminel une base attribuée à Digit RE Group, la maison-mère qui chapeaute plusieurs réseaux de mandataires immobiliers. Le périmètre revendiqué et corroboré par Cyberattaque.org et Zataz : 3,46 millions de personnes, environ 2,99 millions d'enregistrements, 6,3 Go. Le timing est lisible — c'est la consolidation, par le pirate, des publications éclatées qu'il a égrenées depuis mi-juin contre chacune des marques du groupe.

Périmètre revendiqué

Les volumes annoncés se concentrent sur les trois plus gros réseaux opérés ou alimentés par l'écosystème Digit RE :

  • Capifrance : plus de 1,95 million de contacts.
  • Optimhome : environ 1,1 million d'enregistrements.
  • Drimki : plus de 410 000 profils.

ChimeraZ revendique en parallèle plus de 71 000 documents : copies d'actes administratifs, e-mails, justificatifs, PDF contenant des données personnelles. Le compte mentionne également des éléments rattachés à l'usage de la signature électronique — identifiants Universign et statuts de validation — sur plusieurs dizaines de milliers d'enregistrements. Une seconde publication, présentée comme contenant plus de 140 000 fichiers issus de l'écosystème, est annoncée à venir.

À l'heure de bouclage, aucun communiqué de Digit RE Group, Capifrance, Optimhome ou Drimki n'a été publié.

Pourquoi cette publication change le cadre

Les revendications précédentes de ChimeraZ visaient les enseignes une par une : Capifrance le 10 juin (~786 000 personnes), Immofacile (~171 000), Homepad (~625 000), Laforêt (2 M), Propriétés Privées (2,5 M), Leboncoin Immobilier (4 M d'annonces). La publication du 24 juin consolide une partie de ces lots sous une seule étiquette : la maison-mère plutôt que les filiales. Pour la chaîne défensive, c'est un déplacement de niveau d'analyse : la question cesse d'être « telle marque a-t-elle été piratée » et devient « les outils mutualisés au sein de Digit RE servent-ils de pivot ».

Le motif technique revendiqué reste le même que sur les revendications individuelles : abus d'un compte légitime côté CRM ou portail mandataire, exfiltration progressive via les fonctionnalités natives d'export. Pas de rançongiciel, pas de chiffrement — le scénario opérationnel typique de ChimeraZ sur la fenêtre de mi-mai à fin juin 2026.

Que faire

  1. Conseillers et personnels Capifrance, Optimhome, Drimki : rotation immédiate des mots de passe sur l'ensemble des outils Digit RE Group accessibles, ré-enrôlement de la 2FA, audit des sessions actives. Un compte conseiller compromis sur un seul des réseaux peut avoir servi à plusieurs marques si le SSO est partagé.
  2. DSI mutualisée Digit RE Group : tracer les exports CRM par utilisateur et par volume depuis avril 2026. Une exfiltration de 6,3 Go via les fonctionnalités d'export laisse une trace dans les logs applicatifs si la journalisation a été configurée à un grain utile — sinon, l'absence de trace est l'information.
  3. Particuliers en relation commerciale avec Capifrance, Optimhome ou Drimki depuis 2022 : considérer que coordonnées, adresses, historique de mandat et éléments de transaction peuvent être en circulation. Vigilance accrue sur les sollicitations « urgentes » par téléphone ou e-mail prétendant émaner du conseiller référent, du notaire associé ou d'un service de signature électronique.
  4. Notification CNIL : le périmètre revendiqué dépasse très largement le seuil des notifications obligatoires. Documenter dès maintenant la chronologie d'apprentissage de l'incident pour le décompte des 72 heures prévu à l'article 33 RGPD.
  5. Universign et tiers de signature : si la revendication sur les identifiants de signature électronique se confirme, prévoir une revue des dossiers signés sur la fenêtre concernée et une coordination avec le fournisseur du service. Les statuts de validation associés à un identifiant exposé sont un vecteur de fraude documentaire ciblée.

Contexte

C'est la dixième cible française revendiquée par ChimeraZ depuis mi-mai et la deuxième consolidation au niveau d'un groupe après Krys. La signature opératoire est désormais documentée : ciblage des plateformes B2B françaises dont le métier est l'aspiration de données prospects (immobilier, optique, services), accès via un compte légitime, exfiltration via les fonctionnalités prévues par l'outil. Aucun zero-day, aucun chiffrement, aucune intrusion système au sens strict — un schéma que les playbooks de réponse aux incidents conçus pour le ransomware couvrent mal.

Pour Digit RE Group, l'enjeu de court terme est moins technique que communicationnel : à 3,46 millions de personnes affectées si la revendication est confirmée, la question CNIL et celle de l'information individuelle au sens de l'article 34 RGPD ne se pose plus en termes d'opportunité.

Articles liés