Le pirate ChimeraZ s’attaque à l’immobilier français après le tourisme
Posté : mer. 10 juin 2026 08:22
Le pirate ChimeraZ s’attaque à l’immobilier français après le tourisme
Après plusieurs fuites liées au secteur touristique, ChimeraZ revendique deux nouvelles diffusions massives concernant l’immobilier français. Des millions d’enregistrements, des informations patrimoniales et des accès à des messageries professionnelles seraient concernés.
Le pirate ChimeraZ vient de publier, coup sur coup, deux ensembles de données liés au marché immobilier français. Le premier regrouperait plus de quatre millions de lignes provenant de treize plateformes, parmi lesquelles Leboncoin, PAP, ParuVendu et SeLoger. Le second, attribué à Propriétés Privées, comprendrait 3 283 422 entrées associées à 2 528 753 personnes.
Après plusieurs fuites liées au secteur touristique, ChimeraZ revendique deux nouvelles diffusions massives concernant l’immobilier français. Des millions d’enregistrements, des informations patrimoniales et des accès à des messageries professionnelles seraient concernés.
Le pirate ChimeraZ vient de publier, coup sur coup, deux ensembles de données liés au marché immobilier français. Le premier regrouperait plus de quatre millions de lignes provenant de treize plateformes, parmi lesquelles Leboncoin, PAP, ParuVendu et SeLoger. Le second, attribué à Propriétés Privées, comprendrait 3 283 422 entrées associées à 2 528 753 personnes.
Contents
Après plusieurs fuites liées au secteur touristique, ChimeraZ revendique deux nouvelles diffusions massives concernant l’immobilier français. Des millions d’enregistrements, des informations patrimoniales et des accès à des messageries professionnelles seraient concernés.
L’auteur revendique également la compromission de milliers de messageries professionnelles et annonce de futures publications. Interrogé par ZATAZ sur ses motivations, il répond simplement : « Parce que c’est facile. »
Selon ses déclarations, des données dérobées par des infostealers constitueraient sa principale porte d’entrée. Ces accès seraient ensuite exploités grâce à des mots de passe réutilisés, des droits trop étendus et des pratiques internes insuffisamment sécurisées.
Deux fuites immobilières publiées coup sur coup
La première diffusion est présentée sous le titre « 4M Leboncoin Immobilier ». ChimeraZ affirme dévoiler une base de 4 035 710 lignes, proposée au format JSON pour un volume total de 4,38 Go. L’ensemble contiendrait notamment 1 103 720 numéros de téléphone.
La majorité des données, soit 3 578 184 lignes, serait associée à Leboncoin. Le pirate attribue également 198 389 entrées à PAP, 114 880 à ParuVendu, 87 701 à SeLoger et 17 684 à Ouest-France Immo.
Il mentionne ensuite 5 788 lignes liées à PAP Commerces, 4 833 à Vivastreet, 4 208 à Figaro Immobilier, 3 867 à ZeroAgence, 1 818 à Partenaire Européen, 1 193 à Demeures de Charme, 146 à Propriétés Le Figaro et 12 à Clicannonces Réunion.
L’addition de ces volumes atteint toutefois 4 018 703 lignes, soit 17 007 de moins que le total revendiqué. Cet écart peut provenir d’une erreur de comptage ou de sources non détaillées dans le message du pirate.
ChimeraZ entretient volontairement l’incertitude sur l’origine technique de cet ensemble. Il annonce que la communauté comprendra le lendemain la provenance de la compromission, sans fournir d’élément permettant d’établir la responsabilité directe de chacune des plateformes citées.
Il affirme par ailleurs avoir compromis environ 9 000 comptes de messagerie appartenant à des professionnels de l’immobilier. Certains de ces comptes auraient permis d’accéder à d’autres outils internes et à plusieurs bases de données. Ces déclarations n’ont pas pu être confirmées de manière indépendante.
La seconde publication concerne Propriétés Privées. Le pirate annonce 3 283 422 lignes associées à 2 528 753 personnes, réparties dans des fichiers JSON et CSV représentant 2,65 Go. Il soutient que cet accès lui aurait également permis de récupérer les quatre millions d’annonces présentées dans la fuite précédente.
Son récit va plus loin. Une requête adressée à une API lui aurait permis de récupérer les identifiants de 9 000 messageries administratives.
« Quand je parle de 9 000 messageries professionnelles, je parle de 9 000 boîtes complètes », a-t-il déclaré à ZATAZ, il y a quelques jours, sur une messagerie du dark web.
Il affirme qu’environ 4 000 accès fonctionnaient encore et qu’il aurait extrait leur contenu pendant une semaine. Il soutient également que plusieurs sous-domaines de l’organisation seraient vulnérables. À ce stade, ces éléments reposent uniquement sur ses déclarations.
Parmi les fichiers décrits figure une base de 648 000 prospects. L’échantillon publié expose des données d’identité, des coordonnées personnelles, la situation familiale, les revenus, l’épargne, les charges et différentes informations patrimoniales.
Ces catégories de données rendent la fuite particulièrement sensible. Elles pourraient être exploitées pour mener des campagnes d’hameçonnage ciblé, préparer des fraudes, faciliter des usurpations d’identité ou exercer des tentatives de chantage.
ChimeraZ prétend enfin avoir découvert des enregistrements audio et vidéo embarrassants concernant certains salariés, ainsi que des dossiers marqués « +18 ». Ces affirmations proviennent uniquement de son message et ne peuvent pas être considérées comme établies à partir des éléments actuellement disponibles.
Une série d’attaques fondée sur des accès volés
Ces deux publications prolongent une activité déjà dense. ChimeraZ a récemment revendiqué des bases associées à Krys, Avea Vacances, Belambra, Gîtes de France, Maeva Group, Vacances Lagrange et Nemea Group. Plusieurs de ces organisations appartiennent au secteur touristique, jusque-là particulièrement présent dans ses publications.
Son historique mentionne également Amepi, Figaro Immobilier, La Boîte Immo, MediaVacances, Sejourneur et Adele, spécialisée dans le logement étudiant. L’immobilier figurait donc déjà parmi ses cibles. Les dernières publications changent cependant d’échelle, avec plusieurs millions d’enregistrements revendiqués en quelques heures.
D’autres opérations attribuées au même pseudonyme concernent notamment Thales, Socotec, le Collège de France, Campus France, les académies de Nice et d’Aix-Marseille, FranceVerif, Smallable, ObjetRama, IFprofs et EFC Formation.
Certaines données auraient été diffusées gratuitement, tandis que plusieurs ensembles volumineux auraient été proposés à la vente. ChimeraZ a expliqué à ZATAZ commercialiser les jeux de données qu’il considère comme les plus exploitables et utiliser les autres publications pour assurer sa promotion.
La cohérence de cette série repose moins sur un secteur particulier que sur une méthode opportuniste. Selon le pirate, les informations récupérées par des infostealers constituent ses principales portes d’entrée.
Ces logiciels malveillants peuvent dérober des identifiants, des mots de passe, des cookies de session, des portefeuilles de cryptomonnaies et différents secrets enregistrés sur les appareils infectés.
ChimeraZ affirme ensuite profiter d’une sécurité interne insuffisante. Selon lui, certains salariés négligeraient les règles élémentaires ou surestimeraient leur niveau de protection.
Cette déclaration ne démontre aucune compromission précise. Elle décrit toutefois un scénario classique : un compte volé fournit un premier accès, puis des droits excessifs, une API insuffisamment protégée, une session encore valide ou des identifiants réutilisés permettent d’étendre l’intrusion.
Sa réponse concernant ses motivations résume cette logique : « Parce que c’est facile. » La formule relève autant de la provocation que de l’avertissement.
L’enjeu ne consiste plus uniquement à protéger un site accessible au public. Il faut également sécuriser les comptes internes, les messageries, les interfaces de programmation, les sous-domaines, les cookies de session et les appareils personnels utilisés dans un cadre professionnel.
Cette campagne rappelle que, dans le renseignement sur la menace, la véritable cible n’est pas toujours l’entreprise affichée dans le titre d’une fuite. Elle peut être un salarié, un prestataire ou un service connecté disposant des accès recherchés.
Ce que prévoit la loi française
L’accès ou le maintien frauduleux dans un système informatique constitue une infraction. Il est puni de trois ans d’emprisonnement et de 100 000 euros d’amende.
L’extraction, la détention, la reproduction ou la transmission frauduleuse de données contenues dans un système informatique est punie de cinq ans d’emprisonnement et de 150 000 euros d’amende.
Lorsque ces infractions sont commises en bande organisée, la peine peut atteindre dix ans d’emprisonnement et 300 000 euros d’amende.
La qualification exacte et les peines prononcées dépendent toutefois des faits retenus, du nombre de victimes, des méthodes employées, de l’existence éventuelle d’une organisation criminelle et des autres infractions associées.
À titre de comparaison, le pirate connu sous le pseudonyme HexDex a été interpellé en avril 2026, puis mis en examen et placé en détention provisoire. Cette procédure ne préjuge pas de sa culpabilité, qui ne peut être établie que par une décision de justice définitive. L’accès frauduleux est puni de trois ans de prison et de 100 000 euros d’amende ; l’extraction, la détention, la reproduction ou la transmission frauduleuse de données est punie de cinq ans et 150 000 euros ; la bande organisée porte le plafond à dix ans et 300 000 euros. Peines que risque HexDex. (articles 323-1, 323-3 et 323-4-1 du Code pénal)
merci à ZATAZ
Après plusieurs fuites liées au secteur touristique, ChimeraZ revendique deux nouvelles diffusions massives concernant l’immobilier français. Des millions d’enregistrements, des informations patrimoniales et des accès à des messageries professionnelles seraient concernés.
Le pirate ChimeraZ vient de publier, coup sur coup, deux ensembles de données liés au marché immobilier français. Le premier regrouperait plus de quatre millions de lignes provenant de treize plateformes, parmi lesquelles Leboncoin, PAP, ParuVendu et SeLoger. Le second, attribué à Propriétés Privées, comprendrait 3 283 422 entrées associées à 2 528 753 personnes.
Après plusieurs fuites liées au secteur touristique, ChimeraZ revendique deux nouvelles diffusions massives concernant l’immobilier français. Des millions d’enregistrements, des informations patrimoniales et des accès à des messageries professionnelles seraient concernés.
Le pirate ChimeraZ vient de publier, coup sur coup, deux ensembles de données liés au marché immobilier français. Le premier regrouperait plus de quatre millions de lignes provenant de treize plateformes, parmi lesquelles Leboncoin, PAP, ParuVendu et SeLoger. Le second, attribué à Propriétés Privées, comprendrait 3 283 422 entrées associées à 2 528 753 personnes.
Contents
Après plusieurs fuites liées au secteur touristique, ChimeraZ revendique deux nouvelles diffusions massives concernant l’immobilier français. Des millions d’enregistrements, des informations patrimoniales et des accès à des messageries professionnelles seraient concernés.
L’auteur revendique également la compromission de milliers de messageries professionnelles et annonce de futures publications. Interrogé par ZATAZ sur ses motivations, il répond simplement : « Parce que c’est facile. »
Selon ses déclarations, des données dérobées par des infostealers constitueraient sa principale porte d’entrée. Ces accès seraient ensuite exploités grâce à des mots de passe réutilisés, des droits trop étendus et des pratiques internes insuffisamment sécurisées.
Deux fuites immobilières publiées coup sur coup
La première diffusion est présentée sous le titre « 4M Leboncoin Immobilier ». ChimeraZ affirme dévoiler une base de 4 035 710 lignes, proposée au format JSON pour un volume total de 4,38 Go. L’ensemble contiendrait notamment 1 103 720 numéros de téléphone.
La majorité des données, soit 3 578 184 lignes, serait associée à Leboncoin. Le pirate attribue également 198 389 entrées à PAP, 114 880 à ParuVendu, 87 701 à SeLoger et 17 684 à Ouest-France Immo.
Il mentionne ensuite 5 788 lignes liées à PAP Commerces, 4 833 à Vivastreet, 4 208 à Figaro Immobilier, 3 867 à ZeroAgence, 1 818 à Partenaire Européen, 1 193 à Demeures de Charme, 146 à Propriétés Le Figaro et 12 à Clicannonces Réunion.
L’addition de ces volumes atteint toutefois 4 018 703 lignes, soit 17 007 de moins que le total revendiqué. Cet écart peut provenir d’une erreur de comptage ou de sources non détaillées dans le message du pirate.
ChimeraZ entretient volontairement l’incertitude sur l’origine technique de cet ensemble. Il annonce que la communauté comprendra le lendemain la provenance de la compromission, sans fournir d’élément permettant d’établir la responsabilité directe de chacune des plateformes citées.
Il affirme par ailleurs avoir compromis environ 9 000 comptes de messagerie appartenant à des professionnels de l’immobilier. Certains de ces comptes auraient permis d’accéder à d’autres outils internes et à plusieurs bases de données. Ces déclarations n’ont pas pu être confirmées de manière indépendante.
La seconde publication concerne Propriétés Privées. Le pirate annonce 3 283 422 lignes associées à 2 528 753 personnes, réparties dans des fichiers JSON et CSV représentant 2,65 Go. Il soutient que cet accès lui aurait également permis de récupérer les quatre millions d’annonces présentées dans la fuite précédente.
Son récit va plus loin. Une requête adressée à une API lui aurait permis de récupérer les identifiants de 9 000 messageries administratives.
« Quand je parle de 9 000 messageries professionnelles, je parle de 9 000 boîtes complètes », a-t-il déclaré à ZATAZ, il y a quelques jours, sur une messagerie du dark web.
Il affirme qu’environ 4 000 accès fonctionnaient encore et qu’il aurait extrait leur contenu pendant une semaine. Il soutient également que plusieurs sous-domaines de l’organisation seraient vulnérables. À ce stade, ces éléments reposent uniquement sur ses déclarations.
Parmi les fichiers décrits figure une base de 648 000 prospects. L’échantillon publié expose des données d’identité, des coordonnées personnelles, la situation familiale, les revenus, l’épargne, les charges et différentes informations patrimoniales.
Ces catégories de données rendent la fuite particulièrement sensible. Elles pourraient être exploitées pour mener des campagnes d’hameçonnage ciblé, préparer des fraudes, faciliter des usurpations d’identité ou exercer des tentatives de chantage.
ChimeraZ prétend enfin avoir découvert des enregistrements audio et vidéo embarrassants concernant certains salariés, ainsi que des dossiers marqués « +18 ». Ces affirmations proviennent uniquement de son message et ne peuvent pas être considérées comme établies à partir des éléments actuellement disponibles.
Une série d’attaques fondée sur des accès volés
Ces deux publications prolongent une activité déjà dense. ChimeraZ a récemment revendiqué des bases associées à Krys, Avea Vacances, Belambra, Gîtes de France, Maeva Group, Vacances Lagrange et Nemea Group. Plusieurs de ces organisations appartiennent au secteur touristique, jusque-là particulièrement présent dans ses publications.
Son historique mentionne également Amepi, Figaro Immobilier, La Boîte Immo, MediaVacances, Sejourneur et Adele, spécialisée dans le logement étudiant. L’immobilier figurait donc déjà parmi ses cibles. Les dernières publications changent cependant d’échelle, avec plusieurs millions d’enregistrements revendiqués en quelques heures.
D’autres opérations attribuées au même pseudonyme concernent notamment Thales, Socotec, le Collège de France, Campus France, les académies de Nice et d’Aix-Marseille, FranceVerif, Smallable, ObjetRama, IFprofs et EFC Formation.
Certaines données auraient été diffusées gratuitement, tandis que plusieurs ensembles volumineux auraient été proposés à la vente. ChimeraZ a expliqué à ZATAZ commercialiser les jeux de données qu’il considère comme les plus exploitables et utiliser les autres publications pour assurer sa promotion.
La cohérence de cette série repose moins sur un secteur particulier que sur une méthode opportuniste. Selon le pirate, les informations récupérées par des infostealers constituent ses principales portes d’entrée.
Ces logiciels malveillants peuvent dérober des identifiants, des mots de passe, des cookies de session, des portefeuilles de cryptomonnaies et différents secrets enregistrés sur les appareils infectés.
ChimeraZ affirme ensuite profiter d’une sécurité interne insuffisante. Selon lui, certains salariés négligeraient les règles élémentaires ou surestimeraient leur niveau de protection.
Cette déclaration ne démontre aucune compromission précise. Elle décrit toutefois un scénario classique : un compte volé fournit un premier accès, puis des droits excessifs, une API insuffisamment protégée, une session encore valide ou des identifiants réutilisés permettent d’étendre l’intrusion.
Sa réponse concernant ses motivations résume cette logique : « Parce que c’est facile. » La formule relève autant de la provocation que de l’avertissement.
L’enjeu ne consiste plus uniquement à protéger un site accessible au public. Il faut également sécuriser les comptes internes, les messageries, les interfaces de programmation, les sous-domaines, les cookies de session et les appareils personnels utilisés dans un cadre professionnel.
Cette campagne rappelle que, dans le renseignement sur la menace, la véritable cible n’est pas toujours l’entreprise affichée dans le titre d’une fuite. Elle peut être un salarié, un prestataire ou un service connecté disposant des accès recherchés.
Ce que prévoit la loi française
L’accès ou le maintien frauduleux dans un système informatique constitue une infraction. Il est puni de trois ans d’emprisonnement et de 100 000 euros d’amende.
L’extraction, la détention, la reproduction ou la transmission frauduleuse de données contenues dans un système informatique est punie de cinq ans d’emprisonnement et de 150 000 euros d’amende.
Lorsque ces infractions sont commises en bande organisée, la peine peut atteindre dix ans d’emprisonnement et 300 000 euros d’amende.
La qualification exacte et les peines prononcées dépendent toutefois des faits retenus, du nombre de victimes, des méthodes employées, de l’existence éventuelle d’une organisation criminelle et des autres infractions associées.
À titre de comparaison, le pirate connu sous le pseudonyme HexDex a été interpellé en avril 2026, puis mis en examen et placé en détention provisoire. Cette procédure ne préjuge pas de sa culpabilité, qui ne peut être établie que par une décision de justice définitive. L’accès frauduleux est puni de trois ans de prison et de 100 000 euros d’amende ; l’extraction, la détention, la reproduction ou la transmission frauduleuse de données est punie de cinq ans et 150 000 euros ; la bande organisée porte le plafond à dix ans et 300 000 euros. Peines que risque HexDex. (articles 323-1, 323-3 et 323-4-1 du Code pénal)
merci à ZATAZ