Skip to content
hacker_posts

Leboncoin Immobilier : ChimeraZ publie 4 M d'annonces et 1,1 M de téléphones

ChimeraZ revendique 4 035 710 enregistrements et 1 103 720 numéros de téléphone tirés de Leboncoin, PAP, ParuVendu et SeLoger. Origine évoquée : un diffuseur d'annonces mutualisé.

Publié le 5 min de lecture
fuiteleboncoinchimerazimmobilierfrance

Une fuite revendiquée par le cybercriminel ChimeraZ vise Leboncoin Immobilier et plusieurs autres portails français de petites annonces immobilières. La publication, datée du 8 juin 2026 sur un forum cybercriminel, totalise 4,38 Go, 4 035 710 enregistrements et 1 103 720 numéros de téléphone uniques. Le décompte par plateforme attribué aux échantillons : Leboncoin 3 578 184 lignes, PAP 198 389, ParuVendu 114 880, SeLoger 87 701, le reste réparti sur une dizaine de portails secondaires. L'analyse publique vient de Cyberattaque.org, confirmée par FrenchBreaches, ZATAZ et Économie Matin. Aucune communication publique de Leboncoin ni des autres marques citées à la rédaction de ce billet.

Périmètre revendiqué

Selon les inventaires d'échantillons publiés par les deux observatoires francophones, la base contient pour chaque annonce :

  • Titre, description, prix demandé, type de bien, surface, géolocalisation.
  • Identité du déposant : nom, prénom, identifiant de compte.
  • Numéro de téléphone quand il a été renseigné dans l'annonce — 1,1 million de numéros distincts.
  • Date de publication, statut de l'annonce, identifiant interne de l'annonce.

La diversité des marques touchées — Leboncoin, PAP, ParuVendu, SeLoger en tête, mais aussi des portails secondaires — laisse penser que la source n'est pas une compromission directe de Leboncoin lui-même mais d'un intermédiaire de syndication d'annonces : un outil utilisé par les agences ou mandataires pour pousser une seule annonce vers plusieurs portails simultanément. Cyberattaque.org formule l'hypothèse ; aucune confirmation publique côté éditeur n'a été communiquée à ce stade.

Statut de l'exploitation

ChimeraZ a publié la base en téléchargement direct sur le forum, et non mise aux enchères, ce qui change le profil de risque : la donnée est désormais accessible à toute personne ayant un compte forum, gratuitement. FrenchBreaches estime le nombre de personnes uniques impactées à environ 1,1 million, en se basant sur la déduplication des numéros de téléphone et adresses e-mail.

L'attribution reste circonscrite à la revendication de ChimeraZ : pas d'attestation d'authenticité par Leboncoin, pas d'identification publique du vecteur. Les analyses indépendantes valident la cohérence des échantillons (format, plages de dates, présence des marques citées), pas l'origine exacte. Traiter comme « revendiqué » jusqu'à confirmation par les enseignes ou par la CNIL.

Que faire

  1. Particuliers ayant déposé une annonce immobilière depuis 2023 sur Leboncoin, PAP, ParuVendu, SeLoger ou un portail secondaire : considérer que numéro de téléphone, prix et localisation du bien sont en circulation. Surveiller les campagnes de SMS frauduleux usurpant l'identité d'agences ou d'acquéreurs.
  2. Professionnels de l'immobilier — agences, mandataires, réseaux : auditer dans la semaine les outils de diffusion multi-portails utilisés par vos équipes. Identifier le prestataire, demander un état des accès B2B et une attestation d'analyse d'incident. C'est l'angle vecteur le plus probable selon les observatoires.
  3. Notification CNIL : si vous êtes éditeur ou diffuseur identifié dans le périmètre, le décompte des 72 heures commence à votre date de prise de connaissance — documentez-la. La présence de numéros de téléphone et données patrimoniales (prix de mise en vente, surface) dépasse les seuils habituels de gravité.
  4. Surveillance fraude au mandat : la combinaison annonce + téléphone du vendeur est l'attelage type des arnaques au faux mandataire (un escroc contacte le vendeur en se présentant comme un acquéreur sérieux puis exfiltre l'opération hors plateforme). Sensibiliser les équipes commerciales en réseau.
  5. Pour les portails cités : si le vecteur est interne, publier un communiqué public et notifier les utilisateurs concernés. Si le vecteur est un prestataire de diffusion, nommer le prestataire — l'opacité actuelle bloque l'audit côté concurrence, où les mêmes outils sont probablement utilisés.

Contexte

C'est la cinquième revendication ChimeraZ majeure sur des cibles françaises en moins d'un mois, après Avantages Enseignants (~126 000 comptes), Laforêt (2 millions de comptes), Krys (200 000 clients et 195 522 numéros de sécurité sociale) et la fuite Propriétés Privées attribuée au même acteur le 1ᵉʳ juin. Le cybercriminel a déclaré à FrenchBreaches disposer de « 14 compromissions en cours » — chiffre invérifiable, mais cohérent avec la cadence de publication observée.

Le pivot vers l'immobilier après le tourisme (Center Parcs / Pierre & Vacances revendiqué au printemps) confirme ce qu'on disait pour Krys : ChimeraZ ne cible pas un secteur, il cible un type d'actifplateformes B2B2C françaises au cycle d'audit applicatif lâche, en particulier celles qui mutualisent des services entre acteurs concurrents (tiers payant pour les opticiens, diffuseur d'annonces pour l'immobilier, etc.). L'incident Leboncoin Immobilier est, sur le seul plan du volume de personnes physiques exposées, la plus grosse revendication ChimeraZ à ce jour ; il déplace la conversation des comptes-clients vers les prospects identifiés par numéro de téléphone, un cran plus exploitable pour les campagnes de phishing vocal et de fraude au mandat.

Aux portails immobiliers concurrents qui n'apparaissent pas dans la liste publiée : la prudence consiste à supposer que le même intermédiaire (s'il est confirmé) dessert d'autres clients. L'audit du sous-traitant de diffusion d'annonces est, cette semaine, la priorité.

Articles liés