Une grave interruption dans la sécurité d'une entreprise qui relie les passagers aux réseaux ferroviaires européens a révélé des informations très sensibles pour des centaines de milliers de personnes. L'opérateur néerlandais qui commercialise les passes Interrail et Eurail a confirmé que, suite à une intrusion détectée en décembre 2025, les agresseurs ont réussi à extraire des données personnelles d'une partie importante de leur clientèle.
Selon la notification envoyée ultérieurement aux personnes concernées, les intrus ont réussi à transférer des fichiers du réseau de la société à la fin de décembre et, après avoir examiné ces fichiers à la fin de février 2026, la société a identifié qu'ils contenaient des données personnelles. Une communication adressée aux clients et aux autorités indiquait que le nombre de personnes touchées était supérieur à 300 000; dans une communication aux autorités américaines, le chiffre indiqué était 308 777 dossiers potentiellement compromis. Vous pouvez consulter cette notification affichée sur le site du bureau du procureur général de Californie ici: Euroail - notification aux personnes concernées (PDF).
Les types de données en cause rendent l'écart particulièrement préoccupant. En plus des noms et des coordonnées, les dossiers révisés contiennent des documents d'identité et des passeports, des IBANS bancaires et, dans certains cas, des renseignements médicaux. La Commission européenne elle-même, qui a continué à surveiller l'impact des jeunes qui ont reçu des communications via le programme DiscoverEU, a averti que pour ceux qui ont participé à l'exposition, elle pourrait inclure des données sur la santé et d'autres éléments sensibles; l'alerte officielle est disponible sur le portail DiscoverEU: Informations de la Commission sur l'incident et son impact sur DiscoverEU.
La divulgation publique de l'incident a également été suivie par l'émergence d'un échantillon de données dans les canaux de messagerie et par des tentatives de commercialisation dans des forums clandestins. Euroail a informé ses clients que les acteurs malveillants partageaient des exemples de matériel volé dans Telegram et qu'ils essayaient de vendre des ensembles de données dans le soi-disant "dark web".
Bien que l'entreprise ait déclaré que certains éléments, tels que des copies de passeport ou des renseignements financiers complets, n'étaient pas stockés dans les systèmes compromis, la nature et la variété des champs exposés comportent des risques réels de fraude et de substitution. Avec les numéros de documents, les noms complets et les contacts entre les tiers, le risque de campagnes d'hameçonnage hautement ciblées et de tentatives de fraude bancaire augmente considérablement..
Que peuvent faire les personnes touchées? La compagnie a recommandé des mesures immédiates telles que l'examen des transactions bancaires et l'alerte de la banque à tout mouvement suspect, la modification du mot de passe de l'application Rail Planner et le refus de réutiliser ce mot de passe dans d'autres services. Il est également prudent d'ajouter de la prudence aux courriels, appels ou messages non sollicités demandant des informations supplémentaires ou des liens vers des données de « vérification ». Pour ceux qui veulent élargir et contraster des informations sur des incidents similaires ou vérifier si votre courrier apparaît dans des fuites publiques, les services publics comme Est-ce que j'ai été cousu sont utiles et l'Agence de l'Union européenne pour la cybersécurité (ENISA) publie des lignes directrices pratiques sur la manière de combler les lacunes en matière de données: ENISA - ressources et recommandations.
Au niveau réglementaire, ces incidents obligent les entreprises à informer les autorités compétentes et les intéressés et à revoir leurs contrôles internes. La législation européenne en matière de protection des données (et son application pratique en vertu du règlement général sur la protection des données) impose des obligations de déclaration et de recours qui doivent être remplies avec la diligence voulue; pour ceux qui souhaitent consulter le cadre juridique et ses droits, la Commission européenne fournit des informations de base sur la protection des données: Cadre communautaire de protection des données.
Cet incident ne se produit pas dans le vide : d'autres attaques très médiatisées contre des agences et des plateformes européennes ont été observées ces dernières semaines, plaçant la sécurité de l'information au cœur du débat public. Bien que chaque écart ait ses propres particularités, la tendance des acteurs qui exfiltrent de grands volumes de données puis les diffusent ou les vendent souligne la nécessité de contrôles plus robustes, de détection précoce et de réponses coordonnées entre les entreprises et les autorités.
Pour les voyageurs qui dépendent de passes numériques et de plateformes, la leçon va au-delà de la modification des mots de passe : il est essentiel d'exiger la transparence des fournisseurs, d'exiger des explications sur ce qui s'est passé et les mesures correctives mises en œuvre, et d'être attentif aux conséquences possibles à moyen terme, telles que les tentatives de fraude d'identité ou de vol financier. Aux États-Unis, par exemple, les bureaux du procureur général de l'État publient des instructions pour signaler les lacunes et les ressources pour les personnes touchées, et dans l'UE, les agences nationales de protection des données exercent des fonctions équivalentes.
Si vous étiez un utilisateur d'Euroail ou avez reçu un laissez-passer par DisCoverEU et que vous soupçonniez que vos informations pourraient être affectées, vérifiez la communication officielle de l'entreprise et la documentation des autorités susmentionnées, et envisagez des mesures supplémentaires telles que l'activation de notifications dans vos comptes bancaires, l'évaluation de la création d'alertes de fraude et, dans les cas extrêmes, la communication à votre institution financière de blocages temporaires ou d'une surveillance renforcée. Garder le calme et agir avec prudence est toujours la meilleure défense pour de tels incidents.
Pour obtenir des informations officielles et des messages à jour de l'opérateur lui-même et des organismes européens, consulter le site Euroail et les communiqués de la Commission et de l'agence de cybersécurité mentionnés dans le présent article. L'enquête sur l'incident et les mesures d'atténuation continuera d'être menée au cours des prochains mois, et il convient d'être tenu informé par des sources fiables.
Alerte de sécurité La vulnérabilité critique du médicament par injection SQL dans PostgreSQLTM nécessite une mise à jour immédiate
Drucal a publié des mises à jour de sécurité pour une vulnérabilité qualifiée "très critique" qui touche Drumal Core et permet à un attaquant d'effectuer une injection SQL arbit...
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...