skip to content
Gravité critique alléguée

IAD Group : base immobilière massive mise en vente

Le 2 juillet 2026, des cybercriminels mettent en vente une base attribuée à IAD Group : 3,8 millions de personnes et 966 Go de documents revendiqués, sans confirmation du réseau immobilier.

Organisation
IAD Group
Secteur
Immobilier
Pays
France
Date des faits
Mise en vente publiée le 2 juillet 2026 sur un forum cybercriminel ; alertes des trackers spécialisés dès le 3 juillet ; aucune confirmation d'IAD Group au 10 juillet 2026. S'inscrit dans une vague de revendications visant l'immobilier français entre le 8 et le 30 juin 2026
Ampleur
3 834 564 personnes revendiquées par les attaquants dans la base mise en vente (2 041 743 lignes, plus 397 779 documents PDF) ; aucun chiffre confirmé par IAD Group
Vecteur
Inconnu pour IAD Group. Pour la campagne ChimeraZ dans son ensemble, ZATAZ décrit un mode opératoire fondé sur des identifiants volés par infostealers puis l'exploitation de faiblesses internes (réutilisation de mots de passe, API mal protégées), sans que ce vecteur soit établi pour IAD
Données exposées
Identité (nom, prénom, date et lieu de naissance, nationalité), Coordonnées personnelles et professionnelles (adresses postales, e-mails, téléphones), Données professionnelles des conseillers (SIRET, RSAC, TVA, assurance), Mandats immobiliers, contrats, prix des biens et références cadastrales, Projets d'achat et de vente, leads et budgets de prospects, Documents PDF revendiqués incluant pièces d'identité et RIB (selon la presse professionnelle)

Le 2 juillet 2026, deux cybercriminels opérant sous les pseudonymes « ChimeraZ » et « misere » ont mis en vente sur un forum spécialisé une base de données attribuée à IAD Group, premier réseau français de conseillers immobiliers indépendants. L’annonce porte sur deux lots : une base JSON de 14,3 Go comptant 2 041 743 lignes et concernant, selon les vendeurs, 3 834 564 personnes, ainsi qu’un ensemble de 966,3 Go regroupant 397 779 documents PDF (dossiers clients, mandats, contrats), proposés respectivement à 2 000 et 3 000 dollars.

Les données revendiquées couvrent l’ensemble de l’écosystème du réseau : identités et coordonnées de prospects et de clients, projets d’achat et de vente avec budgets, mandats incluant prix et références cadastrales, ainsi que les données professionnelles des conseillers (SIRET, RSAC, TVA, assurance). La presse professionnelle évoque en outre la présence de pièces d’identité et de RIB parmi les documents, ainsi qu’environ 9 000 adresses e-mail professionnelles. Cette combinaison, si elle est authentique, expose prospects et clients à des risques élevés d’usurpation d’identité et de fraude ciblée, notamment aux faux appels de fonds.

Au 10 juillet 2026, IAD Group n’a confirmé ni l’intrusion ni l’authenticité des données, et aucune notification à la CNIL ou aux personnes concernées n’est publiquement connue : tous les chiffres émanent de l’annonce des attaquants, ce qui justifie le statut « alléguée » et la prudence sur les volumes. L’incident s’inscrit néanmoins dans une vague documentée de revendications visant l’immobilier français, avec plus de 25 publications entre le 8 et le 30 juin 2026 touchant notamment SeLoger, Propriétés Privées et CapiFrance ; le Journal de l’Agence y voit la sixième fuite majeure du secteur en six semaines, avec près de 10 millions de personnes potentiellement concernées au total. La fiche sera mise à jour en cas de communication d’IAD Group ou des autorités.