Une revendication signée RansomHouse place un spécialiste de la billeterie sous pression et expose, à travers des contrats et dossiers projet, le risque stratégique d’une fuite touchant un prestataire clé de billetterie.
Le cas de cette nouvelle cyber attaque visant une entreprise spécialisée dans les billeteries (Musée, piscine, Etc.) illustre une mécanique d’extorsion désormais bien installée. Le groupe de pirate derriére cette extorsion, RansomHouse, ne met pas d’abord en scène un blocage technique spectaculaire, mais une pression documentaire, juridique et réputationnelle. Le message adressé à l’entreprise présente un récit calibré : attente supposée d’une réaction, accusation de silence interne, menace de publication de données confidentielles et de documents de projet. Les éléments fournis orientent surtout vers une fuite de contrats, donc vers une exposition informationnelle structurante. L’enjeu dépasse la seule communication de crise. Il touche la cartographie des clients, la compréhension des relations contractuelles et, plus largement, la chaîne de confiance entre un prestataire de billetterie et les exploitants qui dépendent de lui.
La pression documentaire au cœur de la revendication
RansomHouse qui signe ici sa 114 malveillances documentées par ZATAZ (53 en 2024 ; 53 en 2025 ; 9 en 2026) apparaît ici dans un rôle classique de collectif d’extorsion numérique. La logique affichée n’est pas celle d’un chiffrement mis en avant comme preuve principale de nuisance, mais celle d’une divulgation annoncée de documents internes. Le message transmis à l’entreprose victime suit cette grammaire. L’attaquant affirme avoir laissé du temps, reproche à la direction informatique d’avoir caché l’incident, puis pose une alternative implicite : négocier ou voir sortir les fichiers. Cette mise en scène n’est pas secondaire. Elle crée un rapport de force psychologique dans lequel le groupe se présente comme détenteur du tempo et de la preuve. Selon les pirates, l’attaque aurait eu lieu en février 2026.
Le choix des mots compte. La menace vise des données confidentielles et des projects. D’après les éléments communiqués par les pirates, la matière concernée serait, dans la grande majorité des cas, constituée de contrats. Ce point resserre considérablement l’analyse. Une telle fuite ne renvoie pas d’abord à une extraction massive de données clients au sens le plus large, mais à une documentation commerciale et opérationnelle potentiellement très dense. Des contrats peuvent contenir les noms des interlocuteurs, leurs coordonnées, des clauses tarifaires, des niveaux de service, des calendriers de déploiement, des annexes techniques, voire des éléments de sécurité ou d’intégration. Dans le secteur de la billetterie, ils peuvent aussi dévoiler la manière dont chaque site client est branché au prestataire, ce qui intéresse directement une lecture cyber et renseignement.
La société ciblée, telle qu’elle est décrite, opère dans la billetterie pour parcs de loisirs, salles de spectacles et événements sportifs. Cet élément donne sa cohérence à l’ensemble. Les structures mentionnées relèvent, pour beaucoup, de trois familles très lisibles : équipements aquatiques et thermaux, culture et patrimoine, puis loisirs et tourisme. Le risque principal devient alors un effet de ricochet. Ce ne sont pas les systèmes de chaque entité qui ont été directement atteints. Ce sont possiblement leurs documents contractuels, leurs dossiers projet ou leurs échanges centralisés par le fournisseur.
News & alertes actualités cyber
Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes, chaque vendredi midi.
Une fuite qui dessine une cartographie sensible
Une premiére liste a été confectionnée par les pirates eux-mêmes, elle est classée par région et pas structures (musée, piscine, etc.). Elle date du 9 mars 2026. Elle montre un portefeuille vaste et transversal qui semble avoir été constituée par des personnes qui semblent connaitre la France et ses régions et départements. Un premier ensemble concerne les piscines, centres aquatiques, thermes et équipements publics recevant du public. On y trouve notamment le Centre de bien-être du Dévoluy, Villefranche de Rouergue avec Aqualudis, le Centre Aqualudique de St Flour, Atlantys à St Jean d’Angély, Bastia avec la Piscine de La Carbonite, la Piscine de Montbéliard, Quimper Communauté, Thermes de Luchon, la Ville de Tours pour la piscine de Bozon, des équipements d’Orléans, de Lille, de Strasbourg, de Grand Chambéry, d’Amiens, d’Ermont ou encore de Monaco. Ce bloc épouse précisément le périmètre attendu d’un opérateur de billetterie ou de contrôle d’accès.
Un deuxième ensemble touche la culture, le patrimoine et les destinations touristiques. Apparaissent Amiens Métropole, la Baie de Somme, la Cité souterraine de Naours, Samara, le Musée Toulouse Lautrec, le Musée Goya à Castres, l’Abbaye de Senanque, l’Inguimbertine à Carpentras, le Château de Talmont, le Centre de la frise Roc des sorciers, plusieurs musées de Grand Poitiers, Guédelon, le Musée Zervos, le Musée de Sens, des sites liés à Auxerre, le domaine Caillebotte à Yerres, le Château de Breteuil, le Château de la Roche Guyon, Habitation Clément, le Musée Schoelcher, le Musée St Pierre en Martinique, le Jardin Exotique de Monaco et le Musée Océanographique de Monaco. Là encore, la cohérence ne tient pas du hasard. Elle raconte moins une dispersion qu’une centralisation autour d’un prestataire unique ou fortement mutualisé.
Un troisième ensemble regroupe les parcs et les sites de divertissement. La présence de Parot World, Parc Spirou, Wave Island, le Puy du Fou, Winnoland, Futuroscope et le Casino Monte-Carlo élargit la portée supposée de l’incident. L’enjeu n’est plus seulement administratif ou contractuel. Il devient réputationnel pour des acteurs à forte fréquentation, dont l’image, la continuité de service et la maîtrise de leurs relations fournisseurs sont sensibles.
Il faut toutefois rester rigoureux. Les éléments fournis permettent de parler d’une revendication et d’une fuite présumée rattachée à la cyber attaqye. Ils autorisent aussi à constater qu’un grand nombre d’organisations sont nommées dans des répertoires de fuite. En revanche, ils ne suffisent pas, à eux seuls, à établir la nature exacte de la compromission, le volume global exfiltré, la date initiale d’intrusion ni l’impact opérationnel précis chez chaque entité citée. Dans un schéma fournisseur, la présence d’un nom peut renvoyer à un contrat, à un dossier projet ou à un échange documentaire, sans démontrer une compromission directe du système du client final.
C’est précisément pour cela que cette affaire intéresse le renseignement cyber. Une fuite de contrats ne produit pas seulement un dommage médiatique. Elle peut révéler l’étendue d’un parc clients, les dépendances techniques, les circuits de décision, les conditions commerciales et l’architecture relationnelle d’un écosystème entier. Dans une logique d’attaque par la chaîne d’approvisionnement, cette profondeur documentaire vaut parfois autant qu’un accès technique.
Les victimes citées dans les éléments fournis sont les suivantes : Centre de bien-être du Dévoluy, Rocroi, Villefranche de Rouergue – Aqualudis, Centre Aqualudique de St Flour, Atlantys – St Jean d’Angély, Centre Aquatique Aquarelle – Pays Santon, Bastia – Piscine de La Carbonite, Nontron – Centre aquatique St-Martial, Piscine de Montbéliard, Parc Aquatique Nyonsaleïado, Piscine des Andelys du Vernon, Crozon – Nautil’ys, Quimper Communauté, Quimper Communauté – P. Aquarive, Quimper Communauté – P. Kerlan, Thermes de fumades, Thermes de Luchon, Cesson Sévigné, Ville de Tours – Piscine de Bozon, Aquanova – Neuville aux Bois, P. La Chapelle St Mesmin, Ville Orléans, Piscine Les Nautiles, Centre Aquatique Mayenne, Piscine Intercommunale de Joeuf, Amnéville Pôle thermal Les Thermes, Piscine de Forbach, Musée de la Piscine de Roubaix, Ville de Lille – Piscine Camille Muffat, EMS – Les Piscines, Eurométropole de Strasbourg – Siège, Balnéothérapie de Ribeauvillé, CC entre Arroux Loire et Somme – Piscine M.., CC entre Arroux Loire et Somme – Piscine d.., Grand Chambéry Agglomération, Carilis – Piscine Berlioux-Les Halles, Piscines Mairie de Paris, Oissel – Piscine, Parot World (Omega Tropical Park), Château de Breteuil, Musée Marly-le-Roi, Amiens Métropole, Baie de Somme, Baie de Somme – Maison de la Baie, Baie de Somme – Siège, CD de la Somme UGAP, Centre aquatique du Vimeu, Cité souterraine de Naours, CG Somme – Domaine de Samara, Com Agglo Amiens les piscines, Cté d’Agglo. d’Amiens – P. du Coliseum, Cté d’Agglo. d’Amiens – Parc Zoologique de.., Cté d’Agglo. d’Amiens Métropole – Siège, Samara, Musée Dom Robert, Musée Toulouse Lautrec, Ville de Castres Musée Goya, Aqualand Frejus – Siège social, Villa Carmignac, Abbaye de Senanque, Carpentras INGUIMBERTINE, Parc Spirou, RMG – Avignon Tourisme (Palais des Papes), Wave Island, Château de Talmont, Puy du Fou, Centre de la frise Roc des sorciers, Futuroscope, Grand Poitiers – Musée Sainte Croix, Grand Poitiers – Musée du Vitrail, Les Reptiles de la Vienne, Palais des Ducs – Grand Poitiers, Ville de Poitiers, Noblat – Centre Aquatique, CD Vosges, Piscine Roger Mercier de Bruyères, Chantier médiéval de Guédelon, Musée Zervos, Musée de Sens, Ville d’Auxerre – Musée Abbaye St Germain, C.A Grand Belfort, Grand Belfort communauté – Centre Aquatique, Grand Belfort Cté d’Agglomération – Patino.., Grand Belfort Cté d’Agglomération – Siège, Babyland Amiland, Ville d’Yerres – Caillebotte, Winnoland (ancien Babyland), CD92 – Haut de Seine – Siège, CD92 – Domaine Sceaux MDDS, CD92 – Musée Albert Kahn, CD92 – P. Grenouillère, CD92 – Tour aux figures, CDA – Compagnie Des Alpes siège, CG des Hauts de Seine, Musée des années 30, Ville de Boulogne – Belmondo + Années 30, Ville de Boulogne Billancourt, Mairie de Stains – Piscine René Rousseau, Ivry – Piscine municipale, CA Roissy Porte de France – Archéa Louvres, Château de la Roche Guyon, Circuit Carole, Piscine d’Ermont, Habitation Clément, Jardin Botanique – Deshaies, Musée Schoelcher, Musée St Pierre Martinique, Musée volcanique Franck Perret – Saint Pierre, Région Réunion – Kélonia, Région Réunion – Musée Stella, Casino Monte-Carlo, Connectic – Centre Aquatique de Magenta, Connectic – Complexe Pouembout, Connectic – Piscine Jacques Mouren du Ouen.., Jardin Exotique Monaco, Musée Océanographique de Monaco, Piscine Olympique Monaco – Polymatic. Dans ce dossier, la donnée contractuelle agit comme un révélateur de surface d’exposition, ce qui en fait une matière de premier ordre pour l’analyse cyber et intelligence.
