ciel clair20°
DE | FR
burger
Suisse
Allemagne

Cybercrime: des milliers de photos d'enfants suisses dérobées

Ein Etui steht auf einem Pult, am Montag, 15. August 2022, an der Primarschule in Lauperswil im Emmental. Wie in der ganzen Schweiz herrscht auch im Kanton Bern ein Mangel an Lehrpersonen. (KEYSTONE/P ...
De nombreux élèves et parents en Suisse sont concernés par le piratage des données sensibles d'une entreprise allemande. (Photo d'illustration).Image: KEYSTONE

Ils ont volé des milliers de photos d'enfants suisses

Des cybercriminels ont piraté l'entreprise allemande Portraitbox et pillé ses galeries en ligne protégées par mot de passe. Parmi les victimes figurent des photographes scolaires suisses et leurs clients: les écoles.
28.05.2026, 16:5528.05.2026, 18:37
Daniel Schurter
Daniel Schurter

Selon les recherches de watson, une cyberattaque contre l'entreprise allemande Portraitbox GmbH pourrait avoir des conséquences potentiellement graves pour la Suisse. Des photographes scolaires helvétiques utilisant les services de la société attaquée pour la vente de leurs photos sont concernés. De fait, des données sensibles sur des écoliers, des parents et des établissements scolaires suisses se trouvent désormais exposées.

L'entreprise piratée exploite une boutique en ligne ainsi qu'une plateforme cloud utilisée par d'innombrables photographes professionnels, notamment dans le domaine des photos d'école enfantine et d'école primaire.

watson a pu consulter un courrier dans lequel un partenaire contractuel suisse de Portraitbox informe des enseignants et des parents des conséquences possibles de l'attaque. Selon une autorité allemande de protection des données, les auteurs menacent de publier des photos d'enfants sur le Darknet.

Le Préposé fédéral à la protection des données et à la transparence (PFPDT) a confirmé à watson qu'«un grand nombre de personnes en Suisse sont également touchées».

Pour tout savoir:
Que sait-on de la cyberattaque?Qui est concerné?Quelles conséquences pour les personnes touchées?Qui est responsable?Que sait-on des données volées?

Que sait-on de la cyberattaque?

Le mode opératoire évoque une opération de rançongiciel (ransomware) menée par des cybercriminels. Il n'existe pour l'heure aucune revendication publique, ce qui laisse supposer que des négociations sur une rançon se poursuivent encore en coulisses.

Les auteurs, jusqu'ici non identifiés, ont pu s'introduire illégalement dans l'infrastructure informatique de Portraitbox (son cloud Amazon Web Services), vraisemblablement via une clé API volée ou compromise d'une autre manière. Il s'agit en quelque sorte d'un badge d'accès numérique.

Les pirates ont ainsi pu télécharger massivement les données clients et les photos à l'insu de tous, avant d'effacer les originaux dans le cloud. Pour ce faire, ils n'avaient pas besoin de pirater les mots de passe individuels des parents ou des photographes, puisque la clé API susmentionnée leur conférait en quelque sorte le passe-partout de l'ensemble de l'infrastructure numérique.

Une nouvelle arnaque vise les abonnés Swisscom

La cyberattaque elle-même remonte déjà à quelques jours. Le portail d'information informatique heise.de en a rendu compte, le 22 mai, en se référant au site allemand anwalt.de, qui avait informé la veille sur l'affaire et ses conséquences juridiques:

«Le week-end des 16 et 17 mai 2026, des pirates se sont apparemment emparés des comptes Amazon Web Services de Portraitbox, ont téléchargé l'ensemble des photos et données clients qui y étaient stockées, puis les ont effacées. Ils menacent de publier les données.»

Les données de Portraitbox étaient donc hébergées chez Amazon Web Services (AWS), la première plateforme de cloud computing mondiale du géant technologique américain Amazon.

Qui est concerné?

L'ampleur réelle de l'incident reste floue. Les responsables de Portraitbox n'ont pas encore répondu à notre demande de renseignements.

L'incident pourrait toucher une grande partie de la clientèle de l'entreprise, qui provient majoritairement de la région DACH, c'est-à-dire d'Allemagne, d'Autriche et de Suisse. Le PFPDT à Berne a confirmé jeudi:

«Un grand nombre de personnes en Suisse sont également touchées, le service ayant aussi été utilisé depuis la Suisse. Le PFPDT a reçu des signalements de violations de la sécurité des données de la part de responsables (photographes) ayant traité aussi bien des commandes individuelles que des commandes de groupe, comme pour des écoles.»

Dans la mesure où les systèmes de Portraitbox ont été compromis, tous les photographes qui disposaient de galeries en ligne actives chez Portraitbox ou y avaient stocké des données clients le week-end des 16 et 17 mai sont potentiellement concernés.

Selon heise.de, Portraitbox compte «environ 2000 clients dans le secteur de la photographie». Si chacun de ces studios n'avait photographié que 100 personnes distinctes, on compterait déjà 200 000 personnes touchées. Chez les prestataires de photos scolaires, ce chiffre pourrait rapidement être bien plus élevé. Et bon nombre de victimes seraient alors vraisemblablement mineures.

Une erreur de Google menace des millions d'utilisateurs

Un partenaire contractuel suisse de Portraitbox a indiqué jeudi à watson:

«Nous ne sommes pas non plus en mesure de vous dire combien d'écoles suisses sont concernées, car de nombreux autres photographes scolaires en Suisse et à l'étranger travaillent avec Portraitbox GmbH.»

Quelles conséquences pour les personnes touchées?

watson a pu consulter un courrier de Schuelfoti GmbH, un prestataire suisse de photos scolaires, dans lequel ses responsables informent de la cyberattaque contre leur partenaire contractuel allemand Portraitbox et de ses conséquences du point de vue suisse.

Ce courrier, envoyé par courriel le mercredi 27 mai, est adressé aux enseignants et aux parents. Il y est écrit:

«Nous devons malheureusement vous informer que des données de clients de notre galerie photo sont également touchées par cet incident de sécurité. C'est pour nous particulièrement frustrant, car Schuelfoti GmbH est consciente qu'il s'agit de données photographiques particulièrement sensibles concernant des enfants, et la protection des données est donc une priorité absolue pour Schuelfoti GmbH.

Dans un souci de transparence, nous souhaitons vous informer de l'incident. Cette communication est effectuée à titre préventif. Nous n'avons jusqu'ici aucun indice permettant de constater qu'une utilisation abusive de données ou d'images individuelles aurait eu lieu.»

Et plus loin:

«Selon nos connaissances actuelles, rien n'indique que les données concernées aient été proposées, publiées, redistribuées ou utilisées de toute autre manière non autorisée.

Il ne peut malheureusement pas être entièrement exclu que des données puissent faire l'objet d'une utilisation abusive.»

L'entreprise n'était pas joignable par téléphone jeudi. Une demande de contact écrite de la part des médias a d'abord reçu une réponse automatique: «Nous sommes actuellement submergés de demandes. Nous vous prions de bien vouloir comprendre qu'une réponse de notre part puisse actuellement prendre plus de temps.» Peu après, les responsables se sont manifestés:

«Il nous importait de communiquer à tous nos clients, écoles et parents compris, et de manière ouverte et transparente, les informations dont nous disposions. Nous n'avons pour l'instant d'aucune information supplémentaire de la part de Portraitbox.»

Qui est responsable?

Les photographes scolaires suisses utilisent Portraitbox comme plateforme pour proposer aux parents les photos scolaires de leurs enfants à la vente.

Suite au piratage, les données stockées sur les serveurs sont tombées entre les mains de cybercriminels. Il en résulte une situation juridique particulière:

  • Portraitbox en tant que sous-traitant: Portraitbox GmbH agit, sur le plan du droit à la protection des données, en qualité de «sous-traitant», dans le sens où elle met à disposition l'infrastructure technique pour le compte des photographes.
  • Les photographes suisses en tant que responsables du traitement: les photographes scolaires ou leurs sociétés sont les partenaires contractuels des écoles et des parents. Au sens des lois sur la protection des données, les photographes sont donc considérés comme des responsables du traitement.
  • Obligation d'information: pour les photographes indépendants et légalement responsables, c'est à eux qu'incombe l'obligation d'informer. Ils sont tenus de signaler l'incident à l'autorité de protection des données compétente (en Suisse, le PFPDT) et de tenir au courant toutes les personnes concernées.

En ce sens, de nombreux parents ont déjà été informés de l'incident par leurs photographes scolaires au cours des derniers jours.

Les photographes suisses ont été invités à informer leurs clients, confirme le PFPDT à watson. La notification directe des personnes concernées étant actuellement difficile, l'information est diffusée par divers canaux, dont des sites internet et l'envoi de courriels via des groupes tels que les écoles, par exemple.

Cette arnaque suisse m’a fait tomber dans un piège, je vous raconte

Par ailleurs, le PFPDT est en contact avec l'autorité de surveillance de la protection des données compétente pour Portraitbox GmbH en Allemagne.

Que sait-on des données volées?

Comme l'a rapporté heise.de, toutes les galeries en ligne que les studios photo et les photographes indépendants avaient créées pour leurs clients sont concernées. Ces galeries servaient, après une séance photo, à sélectionner des tirages et à faciliter les commandes ultérieures.

Comme l'indique le prestataire suisse Schuelfoti, les auteurs auraient vraisemblablement eu accès à de nombreuses données personnelles stockées dans le cloud. En voici la liste:

  • Photos d'enfants et de classes,
  • noms des clients (parents, proches),
  • adresses électroniques,
  • adresses de livraison et de facturation,
  • historiques de commandes,
  • données d'accès (mots de passe) aux galeries en ligne protégées.

Ce qu'il est bon de savoir du point de vue des parents:

«Les photos elles-mêmes ne contiennent aucune identification par nom ni aucune indication directe permettant d'identifier les personnes photographiées. Un lien avec une personne apparaissant sur la photo n'est possible qu'avec difficulté et uniquement en combinaison directe avec les données d'accès et de commande.»
source: courrier de Schuelfoti GmbH
«Si vous n'avez pas passé de commande, aucune donnée de contact vous concernant autre que votre adresse électronique n'est touchée»
source: courrier de Schuelfoti GmbH
Les usurpations d'identité explosent en Suisse

Selon l'état actuel des connaissances, les données de paiement (telles que les informations de carte de crédit des parents) ne sont pas directement concernées, car elles sont généralement traitées par des prestataires de services de paiement externes. Les coordonnées bancaires des photographes eux-mêmes pourraient toutefois avoir été compromises.

Une chose est sûre: les personnes concernées doivent changer leurs mots de passe et ne cliquer sur aucun lien dans des courriels suspects. Des adresses électroniques et des noms ayant été dérobés conjointement, le risque d'hameçonnage (phishing) est accru.

Une entreprise spécialisée en forensique informatique examine actuellement l'incident de Portraitbox en Allemagne.

Nos meilleurs articles sur le cybercrime en Suisse
Rolle a été piratée: des gigaoctets de données disponibles sur le darknet
1
Rolle a été piratée: des gigaoctets de données disponibles sur le darknet
de Oliver Wietlisbach, Daniel Schurter
On a fouillé le butin des hackers de Comparis et Matisa
On a fouillé le butin des hackers de Comparis et Matisa
de Fabien Feissli
Comparis a versé la rançon à ses hackers. Mais est-ce la bonne solution?
Comparis a versé la rançon à ses hackers. Mais est-ce la bonne solution?
de Fabien Feissli
Après le piratage, Rolle agit mais d'autres communes sont menacées
Après le piratage, Rolle agit mais d'autres communes sont menacées
de Hélène Krähenbühl
Après la cyberattaque de Rolle, «il y a urgence» à agir, crient les députés
Après la cyberattaque de Rolle, «il y a urgence» à agir, crient les députés
Les hackers de Rolle «s'attaqueront à d'autres villes suisses»
Les hackers de Rolle «s'attaqueront à d'autres villes suisses»
Les hackers menacent la Suisse, voici comment se défendre
Les hackers menacent la Suisse, voici comment se défendre
de Daniel Schurter
Thèmes
Vous avez mérité des photos de lapins fluffy:
1 / 13
Vous avez mérité des photos de lapins fluffy:
source: imgur
partager sur Facebookpartager sur X
Copin comme cochon: les cyberattaques
Video: watson
Ceci pourrait également vous intéresser:
Avez-vous quelque chose à nous dire ?
Avez-vous une remarque ou avez-vous découvert une erreur ? Vous pouvez nous transmettre votre message via le formulaire.
0 Commentaires
Connexion
user avatar
Votre commentaire
YouTube Link
0 / 600
Vers les règles des commentaires..
Une fuite de données géante expose des milliers de conducteurs suisses
Deux sociétés suisses de surveillance de parking ont gravement failli en matière de sécurité informatique. Comme le révèle une enquête de watson, d’importantes bases de données contenant des informations sensibles étaient accessibles sans protection sur internet.
Deux sociétés de sécurité suisses sont touchées par une fuite de données de grande ampleur. Les informations personnelles de dizaines de milliers d’automobilistes étaient accessibles sur internet pendant au moins un mois, potentiellement bien plus longtemps. S'y trouvaient notamment des données relatives à des procédures pénales.
L’article