Le 28 janvier 2026, une revendication crédible évoque 11 agences immobilières compromises simultanément : 1,2 million de documents et plus de 500 Go de données exposés.

Un secteur immobilier particulièrement exposé

Le secteur immobilier concentre des données parmi les plus sensibles qui soient : identité, coordonnées bancaires (IBAN), quittances de loyer, contrats, pièces d'identité, justificatifs de revenus, procès-verbaux d'assemblée générale. Agences, syndics de copropriété et plateformes de gestion locative constituent donc des cibles de choix pour les cybercriminels, d'autant que beaucoup s'appuient sur des extranets ou des prestataires tiers mutualisés.

Principales fuites recensées depuis janvier 2026

Entreprise Date Données compromises Volume / statut
Orpi 23 janvier 2026 IBAN, nom, prénom, quittances de loyer, adresse postale, identifiant et mot de passe extranet en clair, données locataire Confirmée
11 agences immobilières (SCI Foncière de la Tourelle, Marteau Immobilier/Orpi, AFG Immobilier, Trenta Immobilier, BLG Patrimoine, SB Immobilier, Sun Immobilia, Immovalie SAS…) 28 janvier 2026 Identité, login/mot de passe, email, quittances, factures, téléphone, données contractuelles, IBAN, carnets d'entretien, rapports financiers, PV d'AG 1,2 million de documents, 500+ Go — revendiquée (crédible)
Métropole de Bordeaux (service taxe de séjour) 29 avril 2026 Identité, email, adresse, téléphone, numéro d'enregistrement, type et capacité du bien loué Confirmée
ImmoJeune 13 avril 2026 Identité, email, téléphone, adresse, revenus, pièce d'identité, justificatifs de revenus Confirmée
Ma Gestion Locative 3 juin 2026 Identité, adresse, email, téléphone, quittances, avis d'échéance, décomptes, états des lieux, attestations, factures, coordonnées bancaires Confirmée
Poulpiquet Immobilier, Rolland & Girot Immobilier 1er juin 2026 Identité, email, téléphone, notes commerciales, nom du conseiller Confirmée
Delamarche Immobilier 16 juin 2026 Identité, email, téléphone, notes commerciales, nom du conseiller Confirmée
Folliot (via Immofacile) 18 juin 2026 Identité, email, téléphone, notes commerciales, nom du conseiller Confirmée
Espaces Atypiques (via Immofacile) 6 juillet 2026 Identité, email, téléphone, notes commerciales, nom du conseiller Confirmée

Sources : recensement des fuites françaises publié sur bonjourlafuite.eu.org.

Un prestataire commun, un risque en cascade

Plusieurs incidents pointent vers un même point de compromission : Immofacile, plateforme utilisée par de nombreuses agences pour la gestion de la relation client. Sa compromission a exposé, en cascade, les données de clients d'agences distinctes (Folliot, Espaces Atypiques) qui n'avaient elles-mêmes commis aucune faute technique directe.

Cet enchaînement illustre un risque propre au secteur : la mutualisation d'extranets, de logiciels de gestion locative ou de solutions CRM par de nombreuses agences fait qu'une seule faille chez un éditeur peut exposer simultanément des dizaines d'agences et leurs clients.

Quelles données sont exposées et quels risques ?

Fraude au RIB IBAN et quittances de loyer permettent d'usurper un propriétaire ou une agence pour rediriger des virements de loyer vers un compte frauduleux.
Comptes extranet compromis Identifiants et mots de passe en clair (cas Orpi) exposent directement les comptes locataires/propriétaires, avec risque de réutilisation sur d'autres services.
Usurpation d'identité Pièces d'identité et justificatifs de revenus (cas ImmoJeune) permettent l'ouverture de comptes ou de crédits frauduleux au nom des victimes.
Phishing ciblé La connaissance du nom du conseiller, de l'agence et de l'historique locatif rend les messages de phishing beaucoup plus crédibles auprès des locataires et propriétaires.

Conseils concrets pour les professionnels de l'immobilier

Mesures techniques de base

  • Ne jamais stocker de mots de passe en clair : hachage systématique des mots de passe des extranets clients, politique de renouvellement en cas de doute sur une fuite.
  • Authentification renforcée : MFA sur les accès extranet, back-office de gestion locative et outils CRM, en particulier pour les comptes à privilèges (comptabilité, gestion des IBAN).
  • Chiffrement des documents sensibles : quittances, IBAN, pièces d'identité et PV d'AG doivent être chiffrés au repos et lors des échanges avec les clients.

Gouvernance et prestataires

  • Auditer les éditeurs de logiciels métier (CRM, gestion locative, extranets) : demander leurs garanties de sécurité, leurs certifications et leur politique de notification d'incident avant de leur confier des données de clients.
  • Cartographier les flux de données entre agence, syndic, plateforme de gestion et sous-traitants, pour identifier rapidement l'origine d'une fuite en cas d'incident chez un tiers.
  • Limiter la collecte aux données réellement nécessaires : conserver des justificatifs de revenus ou pièces d'identité au-delà de la durée utile augmente inutilement l'exposition en cas de fuite.

Organisation et culture interne

  • Sensibiliser les conseillers à la manipulation des données locataires/propriétaires et aux tentatives de phishing ciblant l'agence elle-même.
  • Procédure de vérification des IBAN : tout changement de coordonnées bancaires transmis par email doit être confirmé par un second canal avant tout virement de loyer.

Audit-Suivi.fr accompagne les agences, syndics et gestionnaires locatifs dans l'évaluation de leur système de management de la sécurité de l'information et la mise en conformité ISO 27001.

Que faire si votre agence apparaît dans une fuite ?

  • Vérifier l'ampleur : quelles données, quels clients (propriétaires, locataires, copropriétaires) et quels dossiers sont concernés.
  • Réagir immédiatement : réinitialisation des mots de passe extranet, blocage des accès suspects, alerte auprès des clients sur le risque de fraude au RIB.
  • Informer et déclarer : notifier la CNIL si les critères RGPD sont atteints, informer les personnes concernées et documenter l'incident pour l'éventuelle plainte.