Fuite de données chez Hertz : vos informations personnelles ont-elles été exposées ?

🔓 Fuite de données chez Hertz Corporation : une cyberattaque massive via un logiciel tiers

Une intrusion passée inaperçue plusieurs mois

Le 2 avril 2025, Hertz Corporation, géant mondial de la location automobile, a confirmé avoir été victime d’une fuite de données personnelles de grande ampleur. L'incident remonte à la fin de l’année 2024 et trouve son origine dans l’exploitation de failles critiques au sein d’un logiciel tiers fourni par la société Cleo, spécialisée dans les solutions de transfert de fichiers.Ce piratage a permis l’exfiltration des données de milliers de clients aux États-Unis, mettant en lumière une nouvelle fois les risques liés aux prestataires externes, même lorsqu’ils ne sont pas directement liés aux systèmes internes.

Une faille « zero-day » dans les logiciels Cleo

L’attaque s’est appuyée sur des failles de type « zero-day », inconnues au moment de l’exploitation, présentes dans plusieurs produits Cleo : LexiCom, Harmony et VLTrader, tous vulnérables avant leur mise à jour en version 5.8.0.21. La vulnérabilité, référencée CVE-2024-50623, a été classée avec un score de gravité de 8,8/10 par l’Agence américaine pour la cybersécurité (CISA), qui l’a inscrite dès décembre 2024 dans son catalogue des failles activement exploitées.

Hertz reconnaît l'exfiltration des données

Si l’alerte a été officialisée début avril, les premières brèches remontent à octobre et décembre 2024, selon une notification transmise au procureur général du Maine. Ce n’est qu’en février 2025 que Hertz a confirmé que ses propres données avaient été compromises, après plusieurs mois d’investigation.Les informations exposées sont sensibles : noms, adresses, dates de naissance, numéros de cartes de crédit, permis de conduire, mais aussi, dans certains cas, numéros de sécurité sociale, passeports, identifiants médicaux, et dossiers liés à des accidents du travail. Une atteinte grave à la vie privée, susceptible d’engendrer des cas d’usurpation d’identité ou de fraude.

Le groupe Clop revendique l’attaque

Le groupe Clop, tristement célèbre pour ses campagnes de ransomware ciblés, est soupçonné d’être derrière l’attaque. En janvier 2025, ce collectif a publié une liste de 59 entreprises prétendument compromises via la faille Cleo, incluant Hertz. Clop affirme avoir tenté d’ouvrir des négociations de rançon avec les victimes – sans réponse, selon eux. Une menace de publication des données avait été annoncée pour le 18 janvier.À cette date, Hertz affirmait ne pas disposer de preuve d’un impact direct. Cette position a été révisée en avril, à la lumière d’une analyse complète confirmant la compromission.

Mesures de réponse et inquiétudes persistantes

Hertz a depuis :

• Notifié les autorités régulatrices dans plusieurs États (Maine, Californie, Vermont),
• Engagé une coopération avec les forces de l’ordre,
• Mandaté la société Kroll, experte en gestion de crise, pour proposer deux ans de surveillance d’identité gratuite aux personnes concernées.

Cependant, les doutes persistent. Des chercheurs de la société Huntress ont démontré que la version "corrigée" des logiciels Cleo (5.8.0.21) pouvait toujours être contournée. Ce correctif incomplet laisse supposer que d’autres entreprises utilisant ces produits, même à jour, pourraient encore être vulnérables.

Une faille qui dépasse Hertz

Ce cas Hertz illustre un problème systémique : la dépendance des entreprises à des prestataires logiciels tiers, souvent considérés comme secondaires, mais qui manipulent pourtant des flux de données critiques. La faille Cleo a ainsi touché un large éventail d’organisations : entreprises technologiques, établissements financiers, institutions de santé…L’impact à long terme dépendra de la réactivité des autorités, de la gestion de crise de Hertz, et des enseignements que le secteur tirera de cet événement. Car dans la cybersécurité moderne, ce ne sont pas toujours les murs les plus visibles qui s’effondrent les premiers, mais les maillons les plus discrets de la chaîne logicielle.