Incident de sécurité sur hpaguide.fr

Le 27 mai 2026, nous avons été alertés qu'une vulnérabilité de sécurité dans l'espace professionnel de hpaguide.fr avait permis à un individu malveillant d'accéder sans autorisation à des données de notre base d'utilisateurs professionnels. Nous souhaitons vous en informer de façon transparente : ce qui s'est passé, les données concernées, ce que nous avons fait, et ce que vous pouvez faire pour vous protéger.

Que s'est-il passé ?

Un cybercriminel a exploité une faille dans l'espace professionnel de hpaguide.fr qui lui permettait, une fois connecté avec un compte valide, d'accéder aux fiches d'autres utilisateurs sans y être autorisé. Cette technique ; connue sous le nom d'IDOR (accès direct à un objet sans vérification de droits) ; est une vulnérabilité classique des applications web.

Nous avons eu connaissance de l'incident le 27 mai 2026 que des données issues de notre plateforme circulaient sur un forum cybercriminel. Une investigation immédiate a confirmé l'incident. La faille a été corrigée le jour même.

Quand cela s'est-il produit ?

L'accès non autorisé aux données a pu avoir lieu pendant le mois de mai 2026. La détection et la correction sont intervenues le 27 mai 2026 dès réception des premières alertes. Depuis cette date, la vulnérabilité est corrigée et votre compte est sécurisé.

Quelles données ont été exposées ?

Les informations susceptibles d'avoir été consultées et copiées sont les coordonnées renseignées dans les profils de l'espace professionnel hpaguide.fr :

• Nom et prénom
• Adresse e-mail professionnelle
• Numéro de téléphone fixe
• Numéro de téléphone mobile

Ces données sont exclusivement des coordonnées professionnelles de gestionnaires et responsables d'établissements référencés sur hpaguide.fr. Les visiteurs du site public ne sont pas concernés.

Mes données bancaires ou mon mot de passe sont-ils concernés ?

Non. hpaguide.fr ne stocke aucune donnée bancaire ; aucun numéro de carte ni coordonnée de paiement n'est présent dans la base concernée. Les mots de passe ne font pas non plus partie des données exposées : ils sont stockés sous forme chiffrée et ne sont lisibles par personne, même en cas d'accès à la base.

Combien de comptes sont concernés ?

Environ 3 200 comptes professionnels sont susceptibles d'être touchés. Il s'agit uniquement de comptes de professionnels du camping ; gestionnaires, directeurs et responsables d'établissements référencés sur hpaguide.fr ; et non de visiteurs ou campeurs utilisant le site public.

Qu'avons-nous fait pour corriger la situation ?

Dès la détection de l'incident le 27 mai 2026, nous avons pris les mesures suivantes :

• Correction immédiate de la vulnérabilité de sécurité identifiée
• Audit complet des journaux de connexion pour évaluer l'étendue des accès
• Renforcement des contrôles d'autorisation sur l'ensemble de l'espace professionnel
• Notification à la CNIL conformément à l'article 33 du RGPD dans les délais réglementaires (72 heures)

Nous avons également engagé un audit de sécurité plus large pour identifier et corriger d'éventuelles autres vulnérabilités sur la plateforme.

Quels risques dois-je anticiper ?

Vos coordonnées professionnelles (email, téléphone) peuvent être utilisées pour vous contacter de façon frauduleuse. Les risques les plus courants dans ce type de situation sont :

• Phishing par email : messages usurpant l'identité de hpaguide.fr, de partenaires professionnels ou d'institutions officielles pour obtenir des informations supplémentaires ou des paiements
• Démarchage téléphonique frauduleux : appels prétendant provenir de prestataires connus de votre secteur, proposant des services ou demandant une confirmation de données

Ces risques sont réels mais circonscrits : aucune donnée financière ni mot de passe n'a été exposé, ce qui limite considérablement les possibilités d'exploitation directe.

Que dois-je faire maintenant ?

Nous vous recommandons de prendre ces précautions dès maintenant :

• Par mesure de précaution, les mots de passe de tous les comptes concernés ont été réinitialisés.
  Lors de votre prochaine connexion, il vous faudra demander un nouveau mot de passe sécurisé ;
• Méfiez-vous des courriels inattendus vous demandant de cliquer sur un lien, de confirmer des données ou d'effectuer un paiement ;
• Vérifiez systématiquement l'expéditeur de tout message se réclamant de hpaguide.fr ;
• Ne communiquez jamais vos coordonnées bancaires par email ou par téléphone, même à quelqu'un prétendant représenter hpaguide.fr ; nous ne vous demanderons jamais ces informations ;
• Signalez toute tentative suspecte sur cybermalveillance.gouv.fr, la plateforme nationale d'assistance aux victimes de cyberattaques.

Comment nous contacter ?

Pour toute question relative à cet incident, écrivez-nous avec notre formulaire de contact en indiquant « Incident de sécurité mai 2026 » en objet. Nous répondrons à toute demande dans les meilleurs délais.

Vous disposez du droit de déposer une réclamation auprès de la CNIL si vous estimez que vos droits relatifs à vos données personnelles n'ont pas été respectés (article 77 du RGPD).

Je vous présente mes sincères excuses pour la gêne et l'inquiétude que cet incident peut causer. La confiance que vous m'accordez en référençant votre établissement sur hpaguide.fr est ma priorité, et je mettrais tout en œuvre pour renforcer la sécurité de notre plateforme.

Jean-Marc ROBERTY-MAURY

Administrateur