Carnival Corporation, la société mère de Carnival Cruise Line, envoie actuellement de nouvelles lettres intitulées « Avis d'incident de cybersécurité », datées du 27 mai 2026. Si vous avez l'impression d'avoir déjà lu cette phrase, vous ne rêvez pas. Au cours de la dernière décennie, le plus grand opérateur de croisières au monde a accumulé un bilan inquiétant de violations, d’incidents liés à des ransomwares et de sanctions réglementaires, cet incident de 2026 venant s’ajouter à une liste déjà longue d’antécédents en matière de cybersécurité.
Notre base de données recense plusieurs violations de données impliquant Carnival Corporation ou l'une de ses filiales.
Rien qu'entre 2019 et 2021, Carnival a signalé quatre incidents distincts liés à la cybersécurité au Département des services financiers de New York. Parmi ceux-ci figuraient deux attaques par ransomware et un incident de phishing au cours duquel les pirates ont déployé des logiciels malveillants, accédé aux systèmes internes et les ont chiffrés, avant de dérober des informations personnelles concernant les clients et les employés.
Dans cette dernière affaire, un pirate a eu recours à des techniques d'ingénierie sociale pour amener un employé de Carnival à lui donner accès à une partie des systèmes informatiques de l'entreprise le 14 avril 2026. Le 22 avril, il a utilisé un compte piraté pour accéder à une « partie restreinte » des systèmes informatiques de Carnival, où il a pu copier des données personnelles avant d'être bloqué.
Selon la notification de violation de données déposée dans le Maine, 5 995 277 personnes au total ont été touchées. Carnival a établi que le pirate avait copié illégalement des fichiers contenant des informations personnelles et écrit actuellement aux personnes concernées pour les informer que des « éléments de données » les concernant ont été obtenus.
Selon les chercheurs cités par Gblock, les données volées sembleraient comprendre :
- Noms complets
- Adresses électroniques
- Dates de naissance
- Genres
- Statut et niveau d'adhésion au programme Mariner Society
- Identifiants internes des clients
Le modèle de lettre ne mentionne pas de champs de données spécifiques. Il utilise plutôt un espace réservé :
“We have determined that your <<data elements>> were obtained.”
Cela semble indiquer clairement que Carnival attribue à chaque lettre des catégories de données spécifiques à chaque personne concernée, un schéma courant dans les cas de fuites de données à grande échelle où les personnes peuvent avoir fourni des informations différentes à des moments différents.
Par ailleurs, ces courriers reprennent les arguments habituels concernant la rapidité avec laquelle l'entreprise a réagi, en faisant appel à des experts externes, et présentent les systèmes concernés comme un sous-ensemble limité de l'environnement. Pour les destinataires, l'important n'est pas de savoir à quel point la violation était limitée du point de vue de l'entreprise, mais si les informations exposées pourraient être utilisées à des fins d'usurpation d'identité, de fraude ou d'attaques de phishing particulièrement convaincantes.
Des violations de données se produisent tous les jours. Ne soyez pas le dernier à l'apprendre.
Les incidents antérieurs survenus chez Carnival nous ont appris que les données exposées comprenaient des noms, des adresses, des dates de naissance, des numéros de passeport, des informations médicales et des détails de paiement. Lors de précédentes violations de données touchant des compagnies de croisière, les données compromises allaient des coordonnées de base aux numéros de sécurité sociale et aux informations de carte de crédit. Carnival n'a pas divulgué publiquement l'ensemble des catégories de données concernées par l'incident de 2026, mais étant donné que cet événement de 2026 implique à nouveau des « informations personnelles » copiées à partir de systèmes internes, il est raisonnable de le considérer comme un incident grave en matière de confidentialité, même si la composition exacte des données varie d'une personne à l'autre.
Le groupe de cybercriminels ShinyHunters, connu pour voler des données puis exiger une rançon, a revendiqué cette attaque. Si la victime refuse leurs conditions, les données seront rendues publiques et/ou vendues au plus offrant.
Du point de vue des cybercriminels, les données du secteur des croisières sont très prisées. Les passagers de croisière sont souvent relativement aisés, et les dossiers des passagers peuvent contenir à la fois des données d'identité (noms, adresses, dates de naissance, numéros de passeport), des coordonnées (adresses e-mail, numéros de téléphone) et, éventuellement, des données de paiement (numéros de carte bancaire et parfois coordonnées bancaires), ce qui en fait une cible de choix pour l'usurpation d'identité, le phishing ciblé et la fraude.
Que faire si vous êtes concerné ?
Pour atténuer les répercussions, Carnival propose un forfait gratuit de surveillance du crédit TransUnion d'une durée de 24 mois, accessible via la plateforme MyTrueIdentity et bénéficiant du soutien de Cyberscout pour la lutte contre la fraude.
Méfiez-vous des e-mails, SMS ou appels prétendant provenir de Carnival ou de prestataires de services de surveillance du crédit, car les cybercriminels exploitent souvent ces violations de données pour mener des attaques de phishing. Consultez nos conseils sur la marche à suivre si vous découvrez que vous êtes concerné par une violation de données.
Que savent les cybercriminels à votre sujet ?
Utilisez l'analyse gratuite Digital Footprint Malwarebytes pour vérifier si vos informations personnelles ont été exposées en ligne.
