Hertz : fuite de données via le prestataire Cleo
Hertz confirme une fuite de données clients liée à l'exploitation de failles zero-day du prestataire Cleo par le rançongiciel Cl0p, touchant aussi des clients de l'UE.
- Organisation
- Hertz (Hertz Corporation, marques Hertz, Dollar, Thrifty)
- Secteur
- Transport
- Pays
- États-Unis (siège), avec clients touchés dans l'UE, au Royaume-Uni, au Canada, en Australie et en Nouvelle-Zélande
- Date des faits
- Accès non autorisé en octobre et décembre 2024, découverte le 10 février 2025, analyse achevée le 2 avril 2025
- Ampleur
- Nombre total non communiqué par Hertz ; au moins 3 409 résidents de l'État du Maine déclarés officiellement, estimations de presse évoquant plus d'un million de personnes au niveau mondial (non confirmé)
- Vecteur
- Exploitation de vulnérabilités zero-day (CVE-2024-50623 et CVE-2024-55956) de la plateforme de transfert de fichiers du prestataire Cleo par le groupe de rançongiciel Cl0p
- Données exposées
- Nom, Coordonnées, Date de naissance, Informations de permis de conduire, Données de carte de paiement, Informations de passeport (cas limités), Numéro de sécurité sociale (cas rares, États-Unis), Informations liées à des demandes d'indemnisation accident/travail (cas limités)
Le loueur de véhicules Hertz a confirmé en avril 2025 une fuite de données personnelles de clients consécutive à une attaque visant l’un de ses prestataires, Cleo, éditeur d’une plateforme de transfert de fichiers. Selon les communications de l’entreprise et plusieurs médias spécialisés, des acteurs malveillants ont exploité des vulnérabilités zero-day de la solution Cleo (identifiées comme CVE-2024-50623 et CVE-2024-55956) en octobre et décembre 2024. Hertz indique avoir eu connaissance de l’incident le 10 février 2025 et achevé son analyse le 2 avril 2025, avant de publier des avis de notification à compter du 11 avril 2025.
Le groupe de rançongiciel Cl0p a revendiqué cette campagne, qui a visé de nombreuses organisations utilisatrices de Cleo, et Hertz a été référencé sur son site de fuite. Hertz précise que son propre réseau informatique n’aurait, à ce stade, pas été directement compromis. Les données concernées varient selon les pays mais incluent, d’après les avis publiés, le nom, les coordonnées, la date de naissance, les informations de permis de conduire et les données de carte de paiement, avec, dans des cas plus limités, des informations de passeport, et pour certains clients américains des numéros de sécurité sociale ou des données liées à des demandes d’indemnisation.
L’incident concerne des personnes situées dans l’Union européenne : Hertz a publié des avis localisés visant explicitement les clients de l’UE, ainsi que ceux du Royaume-Uni, du Canada, de l’Australie et de la Nouvelle-Zélande, et déclare être en cours d’engagement auprès des régulateurs nationaux compétents. Le nombre exact de personnes touchées n’a pas été communiqué par Hertz. Seule la déclaration auprès du procureur général du Maine, faisant état d’au moins 3 409 résidents de cet État, est documentée officiellement ; des estimations de presse évoquent plus d’un million de personnes au niveau mondial, mais ce chiffre n’est pas confirmé par l’entreprise.
Hertz a proposé aux personnes concernées deux années de service gratuit de surveillance d’identité via le prestataire Kroll. Aucune source consultée ne fait état, à ce stade, d’un usage frauduleux avéré des données. La part précise des personnes résidant en France n’est pas isolée dans les communications publiques disponibles, mais l’existence d’un avis dédié à l’UE confirme l’exposition de données de personnes situées en Europe.
Sources
- Hertz says personal data breached in connection with Cleo file-transfer flaws (Cybersecurity Dive)
- Hertz data breach: Customers in US, EU, UK, Australia and Canada affected (Help Net Security)
- Hertz warns UK customers of Cleo-linked data breach (Computer Weekly)
- Notice of Data Incident (notice officielle Hertz)