Lors d’une cyberattaque contre Eurail fin 2025, les données personnelles d’au moins 300 000 voyageurs ferroviaires ont été divulguées, bien que ce nombre puisse être encore plus élevé.
En décembre 2025, Eurail BV, l’éditeur des pass ferroviaires Eurail et Interrail, a été frappé par une cyberattaque. L’ampleur de l’attaque commence peu à peu à devenir claire. L’entreprise basée à Utrecht mentionne, dans des notifications officielles de violation de données, au moins 308 777 personnes concernées, comme l’indique un document déposé auprès du ministère public de l’État américain de l’Oregon que Bleeping Computer a pu consulter.
Il s’agit de données personnelles sensibles telles que des noms, des numéros de cartes d’identité et de comptes bancaires, ainsi que des coordonnées. Autant de données que les cybercriminels affectionnent particulièrement. Eurail a informé toutes les personnes concernées par courrier. « Nous avons examiné les dossiers concernés et avons déterminé, le 25 février 2026, qu’ils contenaient certaines de vos données, telles que votre nom et votre numéro de passeport », écrit Eurail dans la lettre. L’entreprise conseille de faire preuve d’une vigilance accrue lors du partage de données personnelles.
Cyberattaque en décembre
Eurail a fait un premier signalement en janvier concernant une intrusion dans sa base de données clients, bien que l’incident en question se soit produit en 2025. À l’époque, la nature exacte des données et le nombre précis de voyageurs concernés n’étaient pas encore clairs. La Commission européenne a diffusé simultanément un avertissement distinct, car elle collabore avec Eurail dans le cadre d’un programme international.
Environ un mois après l’annonce publique de la cyberattaque, Eurail a signalé que la base de données volée était en vente sur le dark web. Des « échantillons de test » ont été diffusés via Telegram. Les pirates affirment toutefois disposer de données sur des millions de voyageurs, collectées via les environnements AWS S3, Zendesk et GitLab de l’entreprise. Il est donc possible que l’impact total de la fuite de données ne soit pas encore totalement connu.
Les organisations européennes ont été durement éprouvées ces dernières semaines. La Commission européenne a également été elle-même victime d’une cyberattaque sur la plateforme web Europa.eu. L’attaque concernerait une trentaine d’entités de l’UE et a été revendiquée par ShinyHunters. L’identité des auteurs de l’attaque contre Eurail n’est pas connue.