Skip to content
hacker_posts

HomePad : ChimeraZ revendique 625 000 personnes et 304 000 états des lieux

Le 12 juin 2026, ChimeraZ publie une base attribuée à HomePad : 304 000 dossiers d'état des lieux, ~625 000 personnes exposées, 119 Mo de JSON. Pas de communiqué officiel.

Publié le 5 min de lecture
fuitehomepadchimerazimmobilierfrance

Le 12 juin 2026, le compte ChimeraZ publie sur un forum cybercriminel une base de données attribuée à HomePad, éditeur d'une solution d'état des lieux numérique utilisée par des agences immobilières et des gestionnaires locatifs en France. Le périmètre revendiqué et corroboré par l'observatoire Cyberattaque.org et l'alerte FrenchBreaches : environ 304 000 dossiers d'état des lieux, 625 000 personnes distinctes (locataires entrants, locataires sortants, propriétaires, gestionnaires), pour 119 Mo de données au format JSON. À l'heure de bouclage, HomePad n'a pas publié de communiqué.

Périmètre revendiqué

D'après les inventaires publiés par les deux observatoires francophones, la base agrège des éléments structurés autour du cycle de vie d'un état des lieux :

  • Coordonnées des locataires entrants : noms, adresses e-mail personnelles, numéros de téléphone.
  • Coordonnées des locataires sortants sur le même bien (transition d'occupation).
  • Coordonnées des propriétaires et gestionnaires rattachés aux dossiers.
  • Métadonnées de dossier : date de création, date de signature, nombre de photos d'inspection, nombre de remarques consignées.
  • Références internes de dossiers et d'agences.

Les échantillons cités par ZATAZ confirment la structure JSON et le rattachement à des transactions locatives concrètes. Aucun mot de passe ni donnée bancaire n'apparaît dans les extraits publiés ; le risque principal est l'ingénierie sociale ciblée sur le couple locataire–propriétaire d'un même bien, à un moment de transition où des virements et des cautions circulent.

Vecteur revendiqué

ChimeraZ ne détaille pas le mode d'accès dans sa publication initiale. Le motif opératoire constant du compte sur les revendications précédentes — usurpation d'un compte légitime côté plateforme B2B, puis exfiltration via les fonctionnalités d'export et de consultation natives — reste l'hypothèse de travail principale tant que HomePad n'a pas communiqué. Pas de chiffrement, pas de rançongiciel, pas d'intrusion système au sens classique : un accès B2B détourné suffit à expliquer le volume.

Aucune confirmation publique côté HomePad à la date de ce billet, ni mention sur les pages presse ou support de l'éditeur. L'authenticité finale et le périmètre exact restent à confirmer par la société.

Statut de l'exploitation

ChimeraZ propose la base à la vente sur un forum. Comme pour les revendications précédentes du même compte (Leboncoin Immobilier, Propriétés Privées, Capifrance), des extraits partiels ont été publiés en démonstration, sans dépôt massif en téléchargement libre. À ce stade :

  • Pas d'élément public indiquant une revente confirmée à un tiers identifié.
  • Pas d'exploitation downstream observée à l'heure de bouclage (campagnes de phishing dérivées, fraudes au gestionnaire).
  • Le délai entre publication d'échantillons et premières campagnes ciblées sur les dossiers ChimeraZ précédents s'est compté en jours, pas en semaines.

Que faire

  1. Locataires et propriétaires ayant signé un état des lieux numérique entre 2022 et 2026 via une agence utilisant HomePad : considérer que coordonnées et calendrier de la transition (date d'entrée, date de sortie, nombre de photos) peuvent circuler. Vigilance accrue sur les e-mails et SMS prétendant émaner de l'agence ou du gestionnaire avec une demande de virement de caution, de loyer ou de régularisation de charges.
  2. Gestionnaires locatifs et agences clientes de HomePad : auditer les accès au tableau de bord HomePad — comptes inactifs à désactiver, rotation des mots de passe, activation de la 2FA si non encore en place. Si l'agence dispose d'un journal des exports, le passer en revue depuis 2024 pour repérer les volumes anormaux par utilisateur.
  3. HomePad (DSI / RSSI) : tracer les exports émis depuis la base de production sur 24 mois et corréler avec les sessions des comptes B2B. Une exfiltration de 119 Mo de JPEG-light JSON via les fonctionnalités d'export laisse une signature dans les logs applicatifs, à condition que la journalisation ait été activée à un grain suffisant. Communiquer publiquement dès que le périmètre est cerné — le silence prolongé est l'élément qui transforme une fuite contenue en crise de confiance.
  4. Notification CNIL : si le périmètre se confirme, l'incident dépasse les seuils de gravité courants (plus de 100 000 personnes, données de transition locative permettant un ciblage individualisé). Le décompte des 72 heures court à partir de la prise de connaissance par le responsable de traitement — documenter la chronologie d'apprentissage dès maintenant.
  5. Banques et plateformes de cautionnement : les dossiers HomePad couvrent une fenêtre de risque connue (mois de la transition de bail). Les équipes anti-fraude peuvent calibrer des règles de détection sur les virements de caution sortants vers de nouveaux IBAN dans les semaines qui suivent.

Contexte

HomePad s'inscrit dans une série de revendications ChimeraZ visant le secteur immobilier français depuis mi-mai 2026 : Propriétés Privées (2,5 millions de personnes), Leboncoin Immobilier (4 millions d'annonces), Capifrance (785 558 personnes). Cyberattaque.org liste également Jestimo, Nemea Groupe, La Boîte Immo, Inter Mutuelles Habitat et MGL parmi les cibles immobilières revendiquées sur la même fenêtre.

Le motif est devenu lisible : plateformes SaaS B2B françaises, accès via un compte conseiller ou gestionnaire compromis, exfiltration via les fonctionnalités d'export natives. HomePad ne se distingue ni par sa taille (625 000 personnes, c'est dix fois moins que Propriétés Privées) ni par la sensibilité brute des données (pas de RIB, pas de mot de passe). Ce qu'elle apporte au corpus ChimeraZ, c'est la granularité temporelle : un état des lieux date précisément le moment où un locataire change d'adresse, signe, dépose une caution. C'est exactement la fenêtre où la fraude au virement et au notaire fonctionne le mieux.

Pour la chaîne immobilière française qui dépend de SaaS B2B opérés par des éditeurs de taille moyenne, la question structurelle n'est plus de savoir si la prochaine revendication tombera, mais combien d'éditeurs partagent la même architecture d'accès et la même politique de journalisation. Le rythme actuel — une plateforme par semaine — ne décélère pas.

Articles liés