Carnival Corporation, le plus grand operateur de croisieres au monde, a confirme une massive violation de donnees Carnival Cruises affectant pres de 6 millions de passagers, apres que des pirates informatiques ont accede aux systemes des employes par ingenierie sociale en avril 2026. Le groupe cybercriminel ShinyHunters a revendique la responsabilite, derobant des donnees personnelles de 5 995 277 individus - y compris des numeros de passeport, des permis de conduire et autres informations sensibles.
Un seul appel a ouvert Salesforce
La violation a commence le 10 avril 2026, lorsque des attaquants ont utilise l'ingenierie sociale pour compromettre les identifiants d'un employe. Carnival a identifie l'intrusion le 14 avril et a lance une enquete. Pendant ce temps, les pirates ont navigue dans les systemes connectes a Salesforce et exfiltre des fichiers contenant des donnees clients sur plusieurs annees de reservations.
Aucune vulnerabilite technique n'a ete exploitee. ShinyHunters n'avaient pas besoin d'exploit zero-day ni de malware sophistique - un appel telephonique convaincant a suffi. Cette tactique, connue sous le nom de vishing (hameconnage vocal), est devenue la methode de predilection du groupe dans des dizaines d'attaques ciblant les environnements Salesforce en 2025 et 2026.
Ce qui a ete vole lors de la violation Carnival Cruises
Carnival a confirme les categories de donnees suivantes auxquelles il a ete accede (variant selon le passager) :
- Noms complets et adresses physiques
- Adresses e-mail et numeros de telephone
- Dates de naissance
- Numeros de passeport
- Numeros de permis de conduire
ShinyHunters ont d'abord affirme avoir derobe plus de 8,7 millions d'enregistrements et des teraoctets de donnees d'entreprise internes. Le chiffre officiel de Carnival s'eleve a 5 995 277 personnes affectees. Dans tous les cas, la combinaison des numeros de passeport avec les dates de naissance et adresses cree un profil d'identite quasi complet - impossible a annuler par un simple changement de mot de passe.
Les notifications sont arrivees six semaines apres l'attaque
Carnival a commence a envoyer des lettres de notification le 27 mai 2026 - 47 jours apres la detection de la violation. Les lois americaines sur la notification des violations de donnees exigent generalement une notification dans les 30 a 60 jours suivant la decouverte, placant Carnival a la limite extreme de la conformite legale.
En reponse, Carnival offre 24 mois de surveillance de credit gratuite via TransUnion a tous les residents americains dont les donnees ont ete compromises. Les experts en securite ont souligne que la surveillance de credit ne protege pas les numeros de passeport ou de permis de conduire.
Trois recours collectifs deposes
Dans les jours suivant la divulgation publique, trois recours collectifs distincts ont ete deposes devant des tribunaux federaux americains. Les plaintes alleguent que Carnival n'a pas mis en oeuvre de controles de securite adequats pour prevenir les attaques d'ingenierie sociale, a stocke des documents de voyage sensibles dans des systemes CRM connectes a Internet, et a retarde la notification des clients.
Les analystes juridiques s'attendent a ce que cette affaire fasse jurisprudence pour evaluer le devoir de diligence des compagnies de voyage envers les passagers dont elles collectent les donnees de passeport.
La campagne croissante de ShinyHunters contre les environnements Salesforce
La violation de Carnival s'inscrit dans une campagne plus large. Durant la meme periode, ShinyHunters ont utilise des tactiques d'ingenierie sociale identiques pour compromettre Charter Communications, derobant des donnees de 4,9 millions d'abonnes au haut debit.
Les equipes de securite ont identifie trois mesures defensives qui reduisent systematiquement les risques : verification obligatoire par rappel avant d'accorder tout acces a distance, politiques strictes de moindre privilege dans les systemes CRM, et formations des employes simulant specifiquement des scenarios de vishing.
Les passagers qui se connectent regulierement au Wi-Fi du navire ou aux reseaux publics lors de leurs voyages font face a un risque supplementaire. Les reseaux Wi-Fi de bord partagés entre des milliers de passagers sont des cibles de choix. Utiliser une connexion chiffree sur le Wi-Fi public ou de bord est une mesure preventive simple qui protege les donnees en transit.
