Le géant de la location de voitures Hertz a reconnu avoir été victime d’une cyberattaque en 2024, exposant les données personnelles de clients de ses marques Hertz, Thrifty et Dollar.
Hertz Corporation, pilier de la location automobile mondiale, a officiellement reconnu le 2 avril 2025 une fuite de données d’ampleur, survenue après l’exploitation de failles critiques dans un logiciel tiers. Cette cyberattaque, orchestrée à la fin de l’année 2024, a compromis les données personnelles de milliers de clients aux États-Unis.
L’origine du piratage ? Une vulnérabilité au sein de la plateforme de transfert de fichiers fournie par Cleo, un prestataire technique utilisé par Hertz. Le cas souligne une fois de plus la vulnérabilité des chaînes logicielles, même lorsqu’elles semblent périphériques aux données sensibles.
L’alerte a été confirmée par Hertz début avril, mais l’intrusion remonte à plusieurs mois. Selon la notification de violation adressée au procureur général du Maine, les premières brèches se sont produites en octobre et décembre 2024. L’acteur malveillant a su exploiter des failles dites « zero-day » dans les logiciels Cleo — plus précisément dans les produits LexiCom, Harmony et VLTrader, tous vulnérables avant la version 5.8.0.21.
Une situation qui a rapidement attiré l’attention de l’Agence américaine pour la cybersécurité (CISA), qui a inscrit la vulnérabilité CVE-2024-50623, notée 8,8 sur 10 en gravité, dans son catalogue des failles activement exploitées dès décembre 2024.
Ce n’est pourtant qu’en février 2025 que Hertz confirme que ses propres données ont bel et bien été exfiltrées. L’entreprise affirme avoir aussitôt lancé une analyse approfondie afin de déterminer l’étendue des informations compromises et d’identifier les personnes concernées. Selon les documents partagés avec les autorités, 3 409 résidents de l’État du Maine ont été touchés. Des notifications similaires ont été envoyées en Californie et au Vermont, bien que ces États ne communiquent pas publiquement le nombre de victimes.
Veille ZATAZ : adoptée et approuvée par 96 % de nos abonnés !
« Les cybercriminels ont utilisé une faille logicielle pour accéder à des informations sensibles de milliers de clients. »
Dans les données volées, on retrouve des noms, des coordonnées, des dates de naissance, ainsi que des informations de cartes de crédit et de permis de conduire. Pire encore, certaines personnes ont vu des données extrêmement sensibles exposées : numéros de sécurité sociale, passeports, identifiants médicaux, voire des détails sur des dossiers d’indemnisation liés à des blessures professionnelles. Une atteinte grave à la vie privée, susceptible de provoquer des usurpations d’identité ou des fraudes.
C’est le groupe Clop, tristement célèbre pour ses campagnes de ransomware ciblées, qui aurait orchestré l’attaque. Ce collectif avait déjà revendiqué des violations similaires sur des outils de transfert de fichiers utilisés par de grandes entreprises, notamment MOVEit Transfer et GoAnywhere.
En janvier 2025, Clop publie une nouvelle salve de revendications, accusant pas moins de 59 entreprises, dont Hertz, d’avoir été compromises via la faille Cleo. Le groupe affirme avoir tenté de contacter les organisations touchées pour des négociations de rançon, sans réponse selon leurs dires. Il menace alors de publier les données dès le 18 janvier.
À cette époque, Hertz avait répondu prudemment, affirmant qu’aucune preuve tangible n’indiquait un impact sur ses systèmes internes ou ses données. Cette déclaration a été officiellement révisée début avril, lorsqu’une analyse complète a confirmé la compromission.
Depuis, l’entreprise tente de rassurer les clients et autorités : elle a notifié les régulateurs, coopère avec les forces de l’ordre et a mandaté la société spécialisée Kroll pour offrir deux années gratuites de surveillance d’identité aux personnes concernées.
« Même après les correctifs, les logiciels Cleo restaient exploitables, selon les chercheurs en cybersécurité. »
Toutefois, les inquiétudes persistent. Les chercheurs de la société de cybersécurité Huntress ont révélé que les correctifs publiés par Cleo en décembre ne suffisent pas à bloquer l’exploitation de la faille. Une preuve de concept développée par leurs soins démontrait que la version 5.8.0.21, censée être sécurisée, pouvait encore être contournée. Cela signifie que d’autres organisations utilisant ces logiciels, même à jour, pouvaient encore être vulnérables.
Dans cette affaire, Hertz n’est pas seul. La faille Cleo a touché une kyrielle d’organisations à travers divers secteurs d’activité, des services financiers aux institutions de santé. Ce nouvel épisode met en lumière un maillon faible souvent négligé : la dépendance à des fournisseurs tiers pour la gestion des données sensibles. Une fois ces prestataires compromis, ce sont toutes les entités interconnectées qui en subissent les conséquences. Et ce n’est pas les clients de la société Harvest qui diront le contraire !
L’impact à long terme de cette fuite dépendra désormais de la réactivité des autorités, de la capacité de Hertz à gérer la communication de crise, et surtout, des leçons tirées par l’ensemble du secteur. Car dans cette guerre numérique, ce ne sont pas les murs les plus visibles qui cèdent les premiers, mais souvent les fondations les plus discrètes.
Vous voulez suivre les dernières actualités sur la cybersécurité ? Pour rester informé sur les enjeux de cybersécurité, abonnez-vous à la newsletter de ZATAZ. Rejoignez également notre groupe WhatsApp et nos réseaux sociaux pour accéder à des informations exclusives, des alertes en temps réel et des conseils pratiques pour protéger vos données.
