C’est un scénario digne d’un film dont vous êtes… la victime. Imaginez: vous êtes tranquillement en vacances en Italie, vous déposez vos papiers à la réception d’un hôtel vénitien très chic, persuadé que vos données seront conservées à l’abri… et quelques semaines plus tard, vos documents circulent sur le web.
C’est exactement ce qui est arrivé à des milliers de voyageurs après qu’un acteur malveillant, connu sous le pseudonyme «mydocs», a compromis les systèmes informatiques de plusieurs hôtels italiens. La première alerte est tombée début août: le CERT-AGID, centre national italien de cybersécurité, découvre la mise en vente de 38 000 images haute résolution de passeports et cartes d’identité volés à l’Hotel Ca’ dei Conti, un établissement quatre étoiles de Venise.
L’affaire ne s’arrête pas là. Quelques jours plus tard, «mydocs» publie d’autres lots: 2300 documents subtilisés à la Casa Dorita en juin 2025, puis 30 000 supplémentaires provenant du Resort Regina Isabella, sur l’île d’Ischia. Et le rythme s’accélère. Le 8 août, un nouveau coup de filet du CERT-AGID révèle 17 000 documents issus de l’Hotel Continentale, à Trieste.
🚨 Data Breach Alert ‼️
— Hackmanac (@H4ckmanac) August 6, 2025
🇮🇹🇪🇸 - Hotel Identity Document Breach Claims on the Rise
A wave of cybercriminal activity is sweeping through the European hospitality sector, with guest identity documents becoming prime targets for threat actors across Italy and Spain.
The threat… pic.twitter.com/C0Jt6N1vcR
En tout, ce sont plus de 70 000 pièces qui sont proposées à la vente, issues d’au moins quatre hôtels italiens différents. Wired Italia rapporte que la vague d’attaques dépasse désormais les frontières de la Botte: un hôtel de Majorque a vu plus de 6000 documents de ses clients mis en ligne, tandis qu’un autre pirate mettrait en vente des millions de papiers d’identité espagnols.
Les conséquences pour les victimes peuvent être graves. Avec un scan de passeport ou de carte d’identité, il devient possible pour des malfrats de fabriquer de faux documents, d’ouvrir des comptes bancaires ou de contracter des crédits en usurpant une identité bien réelle.
Certaines informations peuvent aussi servir à monter des arnaques de type «social engineering» en se faisant passer pour un proche ou un collègue afin de soutirer de l’argent ou des données supplémentaires. Comme le rappelle les autorités, ce type de vol n’a rien d’anodin; il s’agit d’une porte ouverte à des usages frauduleux pendant des années.
Si le CERT-AGID insiste sur la nécessité, pour les hôtels, de renforcer drastiquement leurs défenses informatiques, les voyageurs, eux, n’ont pas de prise directe sur la sécurité des systèmes où leurs papiers sont enregistrés. Ils peuvent en revanche surveiller leurs comptes, vérifier qu’aucune ouverture de crédit ou transaction suspecte n’a été effectuée à leur nom, et signaler immédiatement tout usage abusif à la police ou aux autorités compétentes. (max)
