Skip to content
hacker_posts

Laforêt : 2 millions de comptes en vente, ChimeraZ vise l'immobilier

Le pirate ChimeraZ met en vente 2 millions de comptes clients Laforêt sur un forum cybercriminel et annonce 14 compromissions en cours sur l'immobilier français.

Publié le 5 min de lecture
fuitefranceimmobilierchimerazlaforet

Le pseudo ChimeraZ, qui revendique depuis plusieurs semaines une série de fuites visant le tourisme français, a publié le 30 mai 2026 sur un forum cybercriminel une base attribuée à Laforêt, le réseau de franchises immobilières aux plusieurs centaines d'agences en France. La revendication mentionne plus de 2 millions de comptes clients issus du portail laforet.com, mise à prix 100 dollars. La fiche complète est documentée par l'observatoire Cyberattaque.org ; le pivot vers le secteur immobilier avait été annoncé quatre jours plus tôt par ChimeraZ dans un entretien à FrenchBreaches, où il évoquait « 14 compromissions en cours ».

À ce stade, Laforêt n'a pas communiqué publiquement sur l'authenticité de la base. À traiter comme une revendication à vérifier, pas comme une fuite confirmée par le responsable de traitement.

Ce que dit la revendication

D'après les éléments rendus publics sur le forum et relayés par cyberattaque.org :

  • Volume : plus de 2 millions d'enregistrements.
  • Source revendiquée : le portail laforet.com.
  • Prix d'accès : 100 dollars, paiement crypto attendu.
  • Échantillons publiés : informations d'identité (nom, email, téléphone, adresse) et mots de passe en clair ou faiblement protégés.

C'est la présence de mots de passe — et non les coordonnées — qui rend la base immédiatement exploitable. Si les hachages sont absents ou si l'algorithme est obsolète (MD5, SHA-1 sans sel), l'attaquant n'a pas besoin de casser quoi que ce soit pour relancer une campagne d'authentification en chaîne sur des services tiers (« credential stuffing »).

Statut côté Laforêt

Aucune publication officielle, aucune communication CNIL répercutée par la presse à la date de cette publication. La page Données personnelles du portail rappelle le cadre RGPD général, sans incident en cours. Si l'authenticité est confirmée par la suite, le délai de notification CNIL est de 72 heures à compter de la prise de connaissance par le responsable de traitement.

Que faire si vous avez un compte sur laforet.com

  1. Changez le mot de passe Laforêt sans attendre la confirmation officielle. Si l'échantillon est authentique, votre mot de passe est lisible par n'importe quel acheteur du dump à 100 dollars.
  2. Changez le même mot de passe partout ailleurs où il a été réutilisé. C'est la suite logique typique : un mot de passe Laforêt rejoué sur la messagerie, la banque en ligne ou un service immobilier concurrent. Si vous n'avez pas de gestionnaire de mots de passe, c'est l'occasion.
  3. Vigilance phishing sur les six prochains mois. Un dump contenant nom, email, téléphone, historique de recherche immobilière permet une campagne d'hameçonnage très crédible imitant un conseiller Laforêt — relance sur un bien consulté, demande de pièces justificatives, lien vers un faux espace client. Pas de saisie de mot de passe via un lien reçu par mail, pas d'envoi de pièce d'identité sans appel téléphonique de confirmation au numéro public de l'agence.
  4. Surveillez votre adresse email sur Have I Been Pwned — la base finira par y apparaître si elle est diffusée plus largement.

Que faire si vous opérez dans le secteur immobilier

  1. MFA obligatoire sur tous les portails client, tous les espaces vendeurs, toutes les interfaces d'administration de mandats. Le secteur est désormais cité explicitement par ChimeraZ comme cible — celui qui n'a pas activé le second facteur aujourd'hui se signale comme le prochain.
  2. Audit des accès franchisés et prestataires. Les réseaux nationaux d'agences ont des centaines de comptes franchisés et plusieurs intégrations tierces (logiciels de transaction, diffuseurs d'annonces, outils marketing). Chaque compte oublié est une porte d'entrée. Listez, vérifiez, révoquez ce qui n'est plus actif.
  3. Politique de hachage des mots de passe à revoir. Si vos mots de passe ne sont pas stockés via Argon2id, bcrypt ou scrypt avec sel par utilisateur, vous êtes en infraction avec les recommandations CNIL et ANSSI et vos utilisateurs sont à un dump près du credential stuffing.
  4. Préparez la communication maintenant. Le silence après une revendication crédible laisse le champ libre aux acteurs qui exploiteront votre nom pour des campagnes d'imposture. Un communiqué neutre — « nous avons connaissance de la revendication, nous menons les vérifications, voici comment nous joindre en cas de doute » — vaut mieux qu'un silence interprété.

Contexte

ChimeraZ s'est fait connaître au printemps 2026 sur le segment tourisme : revendications visant Maeva, Belambra, Gîtes de France, Nemea — à chaque fois la même mécanique d'extraction de bases clients, à chaque fois sans confirmation immédiate des cibles. L'entretien FrenchBreaches du 26 mai marque l'annonce explicite d'un changement de secteur : l'immobilier, avec 14 compromissions en cours revendiquées. Laforêt en est la première manifestation publique, sortie quatre jours après l'annonce.

Le secteur immobilier français combine trois caractéristiques qui en font une cible recherchée : un volume de bases clients à fort signal financier (capacité d'emprunt, fourchette de prix, photos d'intérieur, pièces d'identité dans les dossiers de candidature locataire), une faible maturité MFA côté portails grand public, et une chaîne d'agences franchisées où l'écart de pratique entre la meilleure et la pire agence du réseau est considérable. Le terrain est favorable aux acteurs qui annoncent à l'avance leur calendrier.

À séparer de la fuite Optic 2000 revendiquée par AplaGroup le 24 mai : acteur différent (AplaGroup vs ChimeraZ), méthode différente (faille IDOR côté serveur vs vente d'une base de comptes), cible différente (réseau d'opticiens vs réseau immobilier). Mais l'angle commun saute aux yeux : les réseaux français de franchises — opticiens, immobilier, tourisme — concentrent en 2026 une activité revendiquée intense, sans qu'aucun acteur ne soit ralenti par les démantèlements en cours.

Articles liés