Skip to content
hacker_posts

Propriétés Privées : ChimeraZ revendique 2,5 millions de personnes et 2,65 Go de données prospects

Le cybercriminel ChimeraZ revendique le 10 juin une fuite touchant le réseau Propriétés Privées : 3,28 millions d'enregistrements, données patrimoniales, et 9 000 messageries de conseillers.

Publié le 4 min de lecture
fuiteproprietes-priveeschimerazimmobilierfrance

Le cybercriminel ChimeraZ revendique depuis le 10 juin 2026 une fuite massive visant le réseau immobilier français Propriétés Privées. L'inventaire publié sur le forum de revendication recense 3 283 422 enregistrements rattachés à 2 528 753 personnes uniques, pour un volume total d'environ 2,65 Go au format JSON et CSV. Les analyses publiques sont signées par Cyberattaque.org et confirmées par FrenchBreaches et ZATAZ. Propriétés Privées n'a pas publié de communiqué officiel à la rédaction de ce billet.

Périmètre revendiqué

D'après l'inventaire diffusé par l'attaquant et recoupé par les deux observatoires francophones, l'archive contient des extractions issues de plusieurs bases internes du réseau, et non d'un seul socle :

  • Fiches prospects avec critères de recherche immobilière, état civil et coordonnées.
  • Fiches conseillers du réseau (mandataires indépendants).
  • Fiches clients vendeurs et acheteurs, comptes rendus de visites, historiques de rendez-vous.
  • Plusieurs centaines de milliers d'annonces et descriptions de biens, avec adresses précises de mise en vente.
  • Métadonnées de gestion commerciale.

Nature des données

Le profil financier des prospects est le marqueur qui sort cet incident du lot des fuites de comptes-clients classiques. Les échantillons publiés contiennent, par fiche, une partie des champs suivants :

  • Nom, prénom, adresse e-mail personnelle, numéro de téléphone.
  • Revenus déclarés, niveau d'épargne, charges, ratio d'endettement.
  • Informations sur le conjoint.
  • Projet d'achat ou d'investissement, capacité de financement, type de bien recherché.

La présence simultanée de coordonnées identifiantes et de données patrimoniales détaillées constitue le matériau type d'un phishing ciblé ou d'un démarchage frauduleux sur les segments les plus solvables de la base.

Accès messageries revendiqués

ChimeraZ affirme avoir récupéré, via une requête API, les identifiants d'environ 9 000 messageries administratives rattachées à des conseillers et collaborateurs du réseau. L'attaquant indique que 4 000 de ces accès fonctionnaient encore au moment de l'opération, et qu'il a maintenu une extraction de contenu pendant environ une semaine. Cette partie de la revendication n'est pas vérifiable publiquement à ce stade — elle reste un élément déclaratif, à confronter aux journaux d'authentification IMAP/SMTP côté Propriétés Privées.

Statut de la revendication

ChimeraZ poste l'archive en accès direct sur son forum habituel, pas en mise aux enchères. Aucun groupe rançongiciel n'est associé à la publication. L'authenticité est appuyée par la cohérence des échantillons relevée par les deux observatoires francophones, mais aucun communiqué officiel du réseau Propriétés Privées n'avait été publié au moment de la rédaction. Le périmètre exact, la fenêtre d'exfiltration, et le vecteur (compromission d'un compte conseiller, accès API, prestataire) restent à confirmer par l'enseigne.

Que faire

  1. Prospects et clients du réseau ayant déposé un dossier d'estimation, de vente ou d'achat depuis 2023 : considérer que vos coordonnées et au moins une partie de votre situation financière déclarée peuvent circuler. Méfiance accrue sur tout appel, e-mail ou SMS prétendant venir du réseau, d'un notaire ou d'un courtier, en particulier sur les sujets de financement et de placement.
  2. Conseillers et mandataires : changer immédiatement le mot de passe de la messagerie professionnelle, révoquer les jetons applicatifs, activer la double authentification si elle n'est pas encore obligatoire, et signaler au siège tout message envoyé depuis votre adresse sans votre action.
  3. DSI du réseau : auditer les journaux IMAP, SMTP et API sur la fenêtre revendiquée, identifier les IP sources des extractions massives, révoquer en masse les jetons OAuth et tokens d'API, et rotation des secrets partagés entre l'outillage central et les sous-traitants.
  4. Conformité : la combinaison données identifiantes plus données financières plus volume supérieur à 100 000 personnes place l'incident au-dessus des seuils habituels de gravité CNIL. Documenter dès aujourd'hui la chronologie d'apprentissage de l'incident pour le compteur des 72 heures prévues à l'article 33 du RGPD.
  5. Communication client : préparer la notification individuelle prévue à l'article 34, et caler la version proposée par l'enseigne avec la CNIL avant diffusion, vu le caractère sensible des champs patrimoniaux.

Contexte

Cette publication s'inscrit dans une série coordonnée par ChimeraZ contre l'immobilier français depuis fin mai. Les épisodes documentés sur ce site couvrent déjà Krys côté optique, Leboncoin Immobilier sur le volet annonces, et Carvivo sur l'automobile. L'attaquant lui-même revendique 14 compromissions en cours dans les déclarations relayées par FrenchBreaches.

La cible suit la signature opératoire désormais habituelle de ChimeraZ : plateformes B2B2C françaises hébergeant des données personnelles à fort signal commercial, fenêtre d'exfiltration silencieuse de plusieurs mois, publication d'un inventaire dimensionné pour maximiser la pression médiatique. Capifrance, dont la revendication est apparue dans la même semaine sur 785 558 personnes, complète la séquence côté réseaux de mandataires indépendants. Les pairs du secteur — Century 21, Laforêt, Orpi, Stéphane Plaza Immobilier — ont désormais une cible nominative au-dessus de la tête et un délai raisonnable pour auditer leur surface analogue avant d'apparaître à leur tour dans le calendrier de l'attaquant.

Articles liés