Le 28 janvier 2026, une revendication crédible évoque 11 agences immobilières compromises simultanément : 1,2 million de documents et plus de 500 Go de données exposés.
Un secteur immobilier particulièrement exposé
Le secteur immobilier concentre des données parmi les plus sensibles qui soient : identité, coordonnées bancaires (IBAN), quittances de loyer, contrats, pièces d'identité, justificatifs de revenus, procès-verbaux d'assemblée générale. Agences, syndics de copropriété et plateformes de gestion locative constituent donc des cibles de choix pour les cybercriminels, d'autant que beaucoup s'appuient sur des extranets ou des prestataires tiers mutualisés.
Principales fuites recensées depuis janvier 2026
| Entreprise | Date | Données compromises | Volume / statut |
|---|---|---|---|
| Orpi | 23 janvier 2026 | IBAN, nom, prénom, quittances de loyer, adresse postale, identifiant et mot de passe extranet en clair, données locataire | Confirmée |
| 11 agences immobilières (SCI Foncière de la Tourelle, Marteau Immobilier/Orpi, AFG Immobilier, Trenta Immobilier, BLG Patrimoine, SB Immobilier, Sun Immobilia, Immovalie SAS…) | 28 janvier 2026 | Identité, login/mot de passe, email, quittances, factures, téléphone, données contractuelles, IBAN, carnets d'entretien, rapports financiers, PV d'AG | 1,2 million de documents, 500+ Go — revendiquée (crédible) |
| Métropole de Bordeaux (service taxe de séjour) | 29 avril 2026 | Identité, email, adresse, téléphone, numéro d'enregistrement, type et capacité du bien loué | Confirmée |
| ImmoJeune | 13 avril 2026 | Identité, email, téléphone, adresse, revenus, pièce d'identité, justificatifs de revenus | Confirmée |
| Ma Gestion Locative | 3 juin 2026 | Identité, adresse, email, téléphone, quittances, avis d'échéance, décomptes, états des lieux, attestations, factures, coordonnées bancaires | Confirmée |
| Poulpiquet Immobilier, Rolland & Girot Immobilier | 1er juin 2026 | Identité, email, téléphone, notes commerciales, nom du conseiller | Confirmée |
| Delamarche Immobilier | 16 juin 2026 | Identité, email, téléphone, notes commerciales, nom du conseiller | Confirmée |
| Folliot (via Immofacile) | 18 juin 2026 | Identité, email, téléphone, notes commerciales, nom du conseiller | Confirmée |
| Espaces Atypiques (via Immofacile) | 6 juillet 2026 | Identité, email, téléphone, notes commerciales, nom du conseiller | Confirmée |
Sources : recensement des fuites françaises publié sur bonjourlafuite.eu.org.
Un prestataire commun, un risque en cascade
Plusieurs incidents pointent vers un même point de compromission : Immofacile, plateforme utilisée par de nombreuses agences pour la gestion de la relation client. Sa compromission a exposé, en cascade, les données de clients d'agences distinctes (Folliot, Espaces Atypiques) qui n'avaient elles-mêmes commis aucune faute technique directe.
Cet enchaînement illustre un risque propre au secteur : la mutualisation d'extranets, de logiciels de gestion locative ou de solutions CRM par de nombreuses agences fait qu'une seule faille chez un éditeur peut exposer simultanément des dizaines d'agences et leurs clients.
Quelles données sont exposées et quels risques ?
Conseils concrets pour les professionnels de l'immobilier
Mesures techniques de base
- Ne jamais stocker de mots de passe en clair : hachage systématique des mots de passe des extranets clients, politique de renouvellement en cas de doute sur une fuite.
- Authentification renforcée : MFA sur les accès extranet, back-office de gestion locative et outils CRM, en particulier pour les comptes à privilèges (comptabilité, gestion des IBAN).
- Chiffrement des documents sensibles : quittances, IBAN, pièces d'identité et PV d'AG doivent être chiffrés au repos et lors des échanges avec les clients.
Gouvernance et prestataires
- Auditer les éditeurs de logiciels métier (CRM, gestion locative, extranets) : demander leurs garanties de sécurité, leurs certifications et leur politique de notification d'incident avant de leur confier des données de clients.
- Cartographier les flux de données entre agence, syndic, plateforme de gestion et sous-traitants, pour identifier rapidement l'origine d'une fuite en cas d'incident chez un tiers.
- Limiter la collecte aux données réellement nécessaires : conserver des justificatifs de revenus ou pièces d'identité au-delà de la durée utile augmente inutilement l'exposition en cas de fuite.
Organisation et culture interne
- Sensibiliser les conseillers à la manipulation des données locataires/propriétaires et aux tentatives de phishing ciblant l'agence elle-même.
- Procédure de vérification des IBAN : tout changement de coordonnées bancaires transmis par email doit être confirmé par un second canal avant tout virement de loyer.
Audit-Suivi.fr accompagne les agences, syndics et gestionnaires locatifs dans l'évaluation de leur système de management de la sécurité de l'information et la mise en conformité ISO 27001.
Que faire si votre agence apparaît dans une fuite ?
- Vérifier l'ampleur : quelles données, quels clients (propriétaires, locataires, copropriétaires) et quels dossiers sont concernés.
- Réagir immédiatement : réinitialisation des mots de passe extranet, blocage des accès suspects, alerte auprès des clients sur le risque de fraude au RIB.
- Informer et déclarer : notifier la CNIL si les critères RGPD sont atteints, informer les personnes concernées et documenter l'incident pour l'éventuelle plainte.