Noms, prénoms, adresses email, mots de passe : si vous avez acheté un billet en ligne pour le Louvre, la BnF, le musée d’Orsay, l’Arc de Triomphe ou le parc Astérix ces dernières années, vos informations personnelles sont probablement entre les mains de cybercriminels. Début mars, un ransomware a frappé Vivaticket, le prestataire italien de billetterie qui gère les ventes en ligne de milliers d’institutions culturelles françaises. Deux semaines plus tard, les billetteries sont toujours hors service et le groupe criminel RansomHouse menace de tout publier.
Un seul prestataire, des milliers de victimes
Vivaticket n’est pas un nom connu du grand public, mais cette plateforme de billetterie en ligne est un rouage invisible de la vie culturelle française. Elle fournit les systèmes de réservation du Louvre-Lens, de la Bibliothèque nationale de France (BnF), du Quai Branly, de l’Arc de Triomphe, de la tour Eiffel, du musée d’Orsay, du musée Guimet, du Palais de la Porte dorée, de tous les musées de Lyon, du musée de la Nature et de la Chasse à Paris, et de dizaines d’autres établissements à travers le pays. Côté loisirs, le parc Astérix figure aussi parmi ses clients.
Quand les serveurs de Vivaticket ont été chiffrés par le ransomware, l’effet domino a été immédiat. Des messages d’erreur ont remplacé les formulaires de réservation sur les sites de centaines d’institutions. Le Louvre-Lens, par exemple, a dû basculer l’intégralité de ses réservations sur ses guichets physiques et par téléphone, selon le communiqué publié par l’établissement. Au 18 mars, la plupart des billetteries en ligne restent inaccessibles.
Ce que les pirates ont récupéré
Le communiqué de Vivaticket, relayé par les institutions partenaires, confirme qu’il s’agit d’une attaque par rançongiciel ayant « entraîné le chiffrement de plusieurs serveurs d’hébergement ». Mais le chiffrement n’est que la moitié du problème. Avant de verrouiller les systèmes, les attaquants ont exfiltré des données, selon la procédure désormais classique de la double extorsion.
Les informations compromises incluent les noms, prénoms, adresses email, adresses postales et identifiants de compte Vivaticket, y compris les mots de passe, détaille 01net. En revanche, les données bancaires seraient épargnées : leur traitement passe par un prestataire de paiement distinct, un cloisonnement qui limite les dégâts, comme le souligne ZATAZ dans son analyse de l’incident.
Le périmètre exact du vol reste flou. Vivaticket collabore avec des institutions dans le monde entier, pas seulement en France. Mais les premiers communiqués et les alertes envoyées aux visiteurs concernent principalement les établissements français, qui représentent une part significative du portefeuille de la société italienne.
RansomHouse revendique, les autorités enquêtent
Le gang RansomHouse a revendiqué l’offensive. Ce groupe criminel, actif depuis 2022, se distingue par une stratégie de pression publique : il menace de diffuser l’intégralité des données volées si la rançon n’est pas payée. Le groupe a précisé que l’intrusion initiale est passée par IREC SAS, la société historique d’où est issue Vivaticket, rapporte 01net.
Côté institutionnel, la Bibliothèque nationale de France a publié un communiqué confirmant l’incident et indiquant que la CNIL (Commission nationale de l’informatique et des libertés) et l’ANSSI (Agence nationale de la sécurité des systèmes d’information) ont été saisies, de même que les équipes spécialisées du ministère de la Culture. L’implication de l’ANSSI, habituellement réservée aux incidents touchant des opérateurs d’importance vitale, traduit la gravité du dossier, note ZATAZ.
Le vrai risque : le phishing, pas la carte bleue
Si vos coordonnées bancaires semblent hors de danger, les données récupérées par les pirates sont loin d’être anodines. Une adresse email associée à un achat au Louvre ou à une réservation à la BnF constitue un matériau de choix pour du hameçonnage ciblé. Un faux email « Votre billet pour le Louvre » ou « Mise à jour de votre compte Vivaticket » aura bien plus de chances de tromper sa cible qu’un spam générique.
Le Louvre-Lens recommande d’ores et déjà à ses visiteurs de « rester vigilants » face à « d’éventuels emails frauduleux » se faisant passer pour le musée ou pour Vivaticket. Le conseil vaut pour l’ensemble des établissements concernés. Par précaution, changez immédiatement votre mot de passe Vivaticket, et si vous utilisiez le même mot de passe ailleurs (ce qui reste hélas courant), changez-le partout.
La fragilité des sous-traitants numériques du secteur culturel
L’affaire illustre un problème structurel bien connu des experts en cybersécurité : la dépendance à un prestataire unique. Quand un seul fournisseur gère la billetterie de centaines d’institutions, une seule faille suffit à créer un incident de masse. Le secteur culturel français a massivement numérisé ses services de réservation ces dernières années, souvent en confiant l’ensemble à quelques acteurs spécialisés. Cette centralisation offre des gains d’efficacité, mais crée aussi un point de défaillance unique.
La BnF a indiqué exiger de Vivaticket un « renforcement de ses mesures de sécurité », une formulation qui trahit une réalité inconfortable : les institutions publiques n’ont souvent qu’un levier contractuel limité pour imposer des standards de cybersécurité à leurs prestataires. L’ANSSI rappelle régulièrement dans ses rapports que la sécurité d’une organisation dépend de celle du maillon le plus faible de sa chaîne de sous-traitance.
Les investigations techniques sont toujours en cours, et Vivaticket n’a pas communiqué de calendrier pour la remise en service de ses systèmes. En attendant, les musées, monuments et parcs concernés fonctionnent en mode dégradé, avec des réservations uniquement sur place ou par téléphone. Pour les visiteurs dont les données ont été compromises, la CNIL rappelle qu’ils disposent d’un droit d’accès et de rectification, et encourage le signalement de tout email suspect sur la plateforme gouvernementale Pharos.
