Vous pensiez louer une voiture, pas offrir vos données personnelles à des pirates. Hertz vient de confirmer une fuite majeure : si vous avez réservé chez eux récemment, vos infos ont peut-être pris la route sans votre accord.

Hertz, géant mondial de la location automobile, alerte ses clients : des informations sensibles (cartes bancaires, permis de conduire, voire numéros de sécurité sociale) ont été volées via une faille chez l’un de ses sous-traitants. La panne ? Une cyberattaque exploitant des failles zero-day sur la plateforme Cleo Communications, entre octobre et décembre 2024. Les marques Hertz, Thrifty et Dollar sont concernées.

Selon l’entreprise, les pirates ont récupéré des données variées : noms, contacts, dates de naissance, détails de cartes de crédit, et même des dossiers d’accidents du travail. Une minorité de clients auraient également vu leurs passeports ou numéros de sécurité sociale fuiter. Hertz minimise en affirmant n’avoir « aucune preuve d’utilisation frauduleuse »… mais le gang Clop, déjà derrière des attaques similaires, a pourtant publié une partie des données volées.

Lire également – Hertz tente le tout pour le tout pour vendre ses Tesla, la preuve en image

Cleo Communications, un passager clandestin risqué

Le point faible ? Cleo Communications, un outil de transfert de fichiers utilisé par Hertz. La plateforme, critiquée pour ses vulnérabilités répétées, avait déjà été piratée en 2024 par le gang Clop. Ce dernier, lié à la Russie, revendique régulièrement des attaques contre des entreprises via des failles zero-day. Son mode opératoire : voler des données, puis exiger des rançons sous menace de tout publier.

Hertz a tardé à réagir. L’attaque a été confirmée le 10 février 2025, mais l’analyse complète ne s’est terminée qu’en avril. L’entreprise propose désormais deux ans de surveillance anti-fraude gratuits aux clients touchés. Problème : elle refuse de préciser le nombre de personnes concernées. Seul indice, le Maine évoque 3 409 notifications envoyées dans l’État. En Europe, Canada ou Australie, l’opacité reste totale.

Les risques ? Usurpation d’identité, fraude bancaire, ou hameçonnage ciblé. Même sans utilisation immédiate, ces données peuvent être revendues sur le dark web. D’autres entreprises comme Western Alliance Bank ou Sam's Club ont subi des attaques similaires via Cleo. Une tendance inquiétante : depuis 2020, le gang Clop privilégie le vol de données à grande échelle, visant notamment les outils de transfert sécurisés.

Pour les clients, les conseils restent basiques : surveiller ses comptes, activer les alertes bancaires, et méfiance accrue face aux e-mails ou SMS suspects. Hertz promet que Cleo a « corrigé les vulnérabilités », mais la confiance est probablement rompue pour de nombreux clients.