IAD Group : 3,8 millions de personnes et 966 Go revendiqués par ChimeraZ
Le 2 juillet, un acteur nommé ChimeraZ met en vente une base attribuée à IAD Group : 3,83 M de personnes en JSON, 397 779 PDF sur 966,3 Go. Suite de sa campagne visant l'immobilier français.
Le 2 juillet 2026, un acteur malveillant utilisant le pseudonyme ChimeraZ met en vente sur un forum cybercriminel deux ensembles de données attribués au réseau immobilier IAD Group. Selon les publications suivies par Cyberattaque.org et FrenchBreaches, le premier lot est une base JSON de 14,3 Go revendiquée à 2 041 743 lignes concernant 3 834 564 personnes ; le second est une archive de 397 779 fichiers PDF pour 966,3 Go. À ce stade, IAD Group n'a publié aucun communiqué confirmant, infirmant ou qualifiant les données mises en vente.
Ce qui est revendiqué
D'après les descriptions du lot par ChimeraZ, relayées par les deux observatoires FR, la base concernerait l'écosystème IAD au sens large — leads, projets immobiliers, conseillers, agents, mandats, prescriptions, événements, formations, partenaires — et pas uniquement les clients acheteurs. Le format JSON + PDF est cohérent avec un export applicatif ; ni la souche technique ni le vecteur d'accès ne sont documentés publiquement.
Les deux observatoires soulignent que l'échantillon en ligne ne suffit pas à confirmer indépendamment le volume complet ni la fraîcheur des données. Le prix affiché sur le forum pour la base JSON est de 2 000 dollars selon Cyberattaque.org.
Statut de l'attribution
IAD Group n'a pas confirmé la compromission. Aucun communiqué officiel du groupe, aucune notification CNIL rendue publique. Le rapprochement entre les données mises en vente et un système d'information IAD repose à ce stade sur :
- La cohérence structurelle des champs revendiqués avec le modèle métier IAD (mandats, conseillers, prescriptions).
- La revendication explicite de ChimeraZ dans son annonce.
L'origine exacte de la compromission — SI IAD directement, prestataire, sous-traitant, base marketing tierce — n'est pas établie publiquement.
Qui est ChimeraZ
ChimeraZ est un acteur qui a d'abord ciblé le secteur du tourisme français au printemps 2026 avant de pivoter vers l'immobilier fin juin. ZATAZ retrace la trajectoire : revendications successives contre Krys, Avea Vacances, Belambra, Gîtes de France, Maeva Group, Vacances Lagrange, Nemea Group. La vague immobilière ouvre avec la mise en vente d'une base agrégée revendiquée à plus de 4 millions de lignes couvrant Leboncoin Immobilier, PAP, ParuVendu et SeLoger, puis Propriétés Privées (3 283 422 lignes, ~2,5 M de personnes), et maintenant IAD.
L'acteur a également indiqué disposer de plusieurs compromissions en cours dans le secteur immobilier ; la formulation exacte est rapportée par FrenchBreaches. Rien n'indique à ce stade une infrastructure partagée entre les cibles ; le vecteur commun pourrait être une réutilisation de compte, une brique CRM ou marketing commune, ou simplement le choix opportuniste d'un secteur à la surface d'exposition connue.
Que faire
- Réseaux immobiliers en France — considérer que vos données professionnelles peuvent être en circulation. Mandats, factures, contrats, coordonnées de conseillers indépendants : c'est ce qu'a extrait ChimeraZ chez Propriétés Privées et c'est le périmètre revendiqué chez IAD.
- Conseillers indépendants IAD, agents mandataires — vigilance renforcée sur les messages entrants. Le triptyque nom + mandat en cours + document client est un kit de phishing ciblé sur mesure : faux mail de gestion de mandat, faux SMS de client, faux appel de banque évoquant une transaction en cours.
- Clients ayant fait affaire avec un conseiller IAD — surveiller les tentatives de fraude à l'identité. Les archives PDF revendiquées contiennent des documents administratifs ; usurpation d'identité, faux courriers bancaires et faux courriers notariaux liés à une transaction sont les scénarios à anticiper dans les semaines qui viennent.
- DPO et RSSI d'IAD Group — publication d'un communiqué et notification CNIL relèvent de l'article 33 RGPD en cas de confirmation. L'absence de communication publique deux jours après la revendication n'est pas neutre ; les groupes ayant traversé la même situation en 2026 (Digit RE, Propriétés Privées) ont communiqué dans un délai comparable ou plus court.
- Partenaires bancaires et notariaux d'IAD — mettre à jour les procédures de vérification hors bande. Un rappel systématique par téléphone sur un numéro connu, plutôt que par email, absorbe la plupart des scénarios post-fuite immobilier.
Le contexte
Cette revendication porte à un chiffre à deux voire trois chiffres le nombre de plateformes immobilières françaises visées en 2026. Nous avons couvert la fuite Leboncoin Immobilier revendiquée par ChimeraZ à 4 millions d'annonces, la fuite Digit RE Group à 3,46 millions de personnes, et ChimeraZ menace 14 compromissions en cours selon FrenchBreaches. En cumulé, la revendication de ChimeraZ dépasse à ce jour les 50 millions d'enregistrements sur le secteur immobilier français, un ordre de grandeur qui laisse peu de foyers hors périmètre étant donnée la démographie du parc de prospects et de vendeurs.
Le vecteur exact reste inconnu pour l'ensemble des cibles. Sur ce même secteur, l'hypothèse d'une brique tierce partagée — CRM, base leads mutualisée, prestataire d'export marketing — n'a été ni confirmée ni écartée. C'est le point qui manque le plus au tableau et qui déterminera si la vague continue au rythme actuel ou si un maillon commun tombe.