Une cyberattaque d’une ampleur rare vient d’ébranler l’écosystème automobile français. Plus de 15 millions de personnes se retrouvent exposées à la suite du piratage de Carvivo, plateforme SaaS spécialisée dans la gestion de prospects pour les concessions automobiles. L’incident, revendiqué sur le dark web, met en lumière la fragilité croissante des infrastructures numériques au cœur d’un secteur en pleine transformation digitale.
Les cybercriminels affirment avoir compromis les serveurs de cette société fondée en 2016, accédant ainsi à des données sensibles concernant des millions d’automobilistes français et européens. Par son ampleur présumée, cet épisode pourrait figurer parmi les fuites de données les plus significatives jamais recensées dans l’industrie automobile, soulevant des interrogations légitimes quant à la protection des informations personnelles dans un secteur de plus en plus dépendant du numérique.
Carvivo dans la ligne de mire des pirates informatiques
Carvivo développe des solutions technologiques à destination des concessionnaires automobiles. Sa plateforme centralise l’ensemble des demandes issues des sites web, formulaires de contact, appels téléphoniques et campagnes publicitaires, avec pour objectif d’optimiser la conversion des prospects en acheteurs pour plus de 1 700 points de vente répartis en France et en Europe.
Contactée par des spécialistes en cybersécurité, l’entreprise a confirmé avoir identifié « une exposition non autorisée de données ». Dans sa réponse officielle, Carvivo indique que ses vérifications ont permis de « constater la réalité des failles signalées et de confirmer une exposition de données via certaines URL accessibles sans autorisation ».
La société précise par ailleurs être « en cours de notification de la CNIL » et faire face à « l’ensemble des obligations d’un éditeur SaaS sérieux et engagé auprès de ses clients ». Les investigations se poursuivent pour déterminer avec précision l’étendue réelle de la compromission.
Un vol de données aux proportions inédites
Les chiffres avancés par les cybercriminels sont vertigineux. La base de données compromise contiendrait plus de 15 millions de personnes exposées, dont 3,2 millions d’adresses électroniques uniques et plus de 5 millions d’immatriculations assorties d’informations véhicules. Près de 1 706 garages et concessions automobiles seraient concernés, et l’historique commercial couvrirait près de neuf années d’activité, de 2017 à 2026.
Cette cyberattaque illustre la richesse des informations que l’écosystème automobile moderne accumule au fil du temps. Au-delà des simples coordonnées de prospects, les données revendiquées incluraient l’intégralité des échanges commerciaux, les commentaires internes des vendeurs, les dates de relance programmées et les caractéristiques précises des véhicules recherchés par chaque client.
De Renault à Volkswagen, tout le marché automobile concerné
L’analyse des échantillons publiés par les pirates révèle un périmètre particulièrement étendu. Plusieurs groupes de distribution majeurs figureraient parmi les données compromises, dont le Groupe Mary Automobiles et de nombreux réseaux régionaux. Les statistiques visibles indiquent que certaines marques concentrent des volumes considérables de prospects, Renault, Volkswagen et Peugeot comptant parmi les constructeurs les plus représentés.
Cet incident illustre la concentration croissante des données personnelles au sein de l’industrie automobile. Sous l’impulsion de la digitalisation, le secteur centralise désormais l’ensemble de ses interactions commerciales sur des plateformes technologiques sophistiquées, dont la robustesse face aux attaques reste, visiblement, perfectible.
