Des données présumées provenir des plus 300 000 clients de l’hébergeur polonais Home.pl sont mises en vente sur un site du dark web associé aux cybercriminels. C’est du moins ce que rapporte une autorité sur les menaces provenant du dark web, @DailyDarkWeb.
L’affirmation décrite n’a toute pas encore été vérifiée de manière indépendante. Home.pl n’a toujours émis aucune déclaration et CERT Polska n’a publié aucun avis. On note aussi qu’aucun organe de sécurité polonais ou international n’avait confirmé la véracité de la liste. Des listes similaires sur des forums du dark web contiennent souvent des données fabriquées, recyclées ou mal attribuées.
Si vous êtes un client de Home.pl, il y a néanmoins de très bonnes raisons d’être inquiet et particulièrement vigilant. On vous recommande donc de prendre immédiatement des précautions pour sécuriser vos données et celles de vos visiteurs. Vous pourrez ainsi minimiser les dégâts si la menace se confirme.
Dans cet article, nous nous attarderons donc à ce qui est revendiqué. Nous analyserons la structure technique du jeu de données annoncé et fournirons un contexte pour les clients de Home.pl et l’industrie de l’hébergement. Pour l’instant, il est toutefois trop tôt pour être certain qu’une violation a eu lieu. Mais nous aborderons néanmoins les impacts de cette menace potentielle jugée crédible par les experts. Sans plus tarder, lançons nous dès maintenant dans le vis du sujet.
Une liste de centaines de milliers de clients de Home.pl serait apparue sur le dark web
Le compte de renseignement sur les menaces @DailyDarkWeb. Celui-ci surveille les forums de cybercriminalité et les marchés du dark web. Il a signalé une annonce faisant la publicité d’un jeu de données dont le vendeur affirme qu’il provient de Home.pl, l’un des plus grands fournisseurs de services d’hébergement et de noms de domaine de Pologne.
La liste décrit le jeu de données comme contenant « des centaines de milliers » d’enregistrements clients organisés en trois sections. Celles-ci représentent les enregistrements de contact client et prospect, les données de suivi de session du site Web et les actifs de campagne marketing.
Trois jeux de données distincts seraient compromis
Les Enregistrements de contact annoncés incluent des champs pour le prénom, l’adresse e-mail, l’adresse postale, le nom d’utilisateur de connexion, le hachage du mot de passe de connexion, le numéro de téléphone, le téléphone mobile, la date de naissance, le statut du compte, le code régional, le statut d’adhésion au marketing, la préférence linguistique, source de la piste et métadonnées CRM. Elles incluent notamment les horodatages de création et le gestionnaire de compte attribué. La présence de hachages de mots de passe au lieu de mots de passe en clair est notée dans la liste.
La deuxième section est intitulée Sessions du site web. Elle contient des champs pour les identifiants de session, les vues de page, le nombre de clics, le statut actif, le type de session et les dates. La troisième section, pour sa part, couvre les Actifs de campagne marketing.
La description du vendeur présenterait l’ensemble de données comme utile pour « la recherche, l’analyse ou la compréhension de la structure du secteur concerné en Pologne ». Elle est ainsi conforme au langage standard utilisé dans les listes du dark web. Celui-ci sert à fournir une couverture juridique à ce qui est en pratique une offre de vente de données volées à des cybercriminels.
L’annonce n’indique pas publiquement de prix de vente. @DailyDarkWeb conclut sa propre analyse en notant : « À ce stade, l’origine des données et toute attribution à Home.pl ne sont pas vérifiées et nécessitent une validation indépendante. »
Ce que le schéma nous dit sur cette fuite de données de clients de Home.pl vers le dark web
La structure de champ du jeu de données annoncé est techniquement intéressante. Et ce, que l’attribution soit exacte ou non. Deux détails important se démarquent. Ils pourraient permettre d’authentifiée la validité des données.
Tout d’abord, le schéma de la section des contacts ne correspond à aucun système CRM standard. SugarCRM, le CRM open-source le plus largement déployé sur le marché intermédiaire européen, stocke les données de mot de passe dans un champ nommé user_hash dans une table des utilisateurs. Il n’utilise pas une table des contacts sous un nom de champ login_password_hash.
Salesforce, HubSpot et Microsoft Dynamics ne stockent aucun hachage de mot de passe dans les enregistrements de contact. On note la présence de login_password_hash directement dans une table de contacts à côté des champs CRM comme assigned_to_user, lead_source et contact_rating.
Celle-ci suggère soit un déploiement CRM fortement personnalisé, soit un système de gestion client propriétaire qui fusionne les données de facturation/authentification avec les enregistrements de contact CRM. Les deux éventualités sont plausibles pour une entreprise de l’âge et de la complexité de Home.pl.
Des données issues d’une application interne ou personnalisée
Deuxièmement, et de manière plus parlante, le tableau Sessions du site Web utilise des noms de colonnes en polonais. On y trouve notamment sesja (session), odslony (vues de page), klikniecia (clics), aktywny (actif), rodzaj (type), datad (date, probablement une abréviation de « data działania »).
Aucune plateforme CRM ou d’analyse commerciale majeure n’utilise de noms de colonnes de bases de données en polonais. Les systèmes standard traduisent souvent leur interface utilisateur. Elles conservent néanmoins les noms de colonnes en anglais dans le schéma de la base de données sous-jacente. Les noms de colonnes en polonais au niveau de la base de données pointent donc spécifiquement vers une application personnalisée ou développée en interne.
Ce détail est cohérent avec l’outillage interne d’une société polonaise légitime. Il serait nettement moins habituel pour un jeu de données fabriqué ou recyclé étiqueté au nom d’un fournisseur polonais. Cet élément pourrait donc être un indice validant la véracité des données. On doit toutefois attendre la confirmation de home.pl pour savoir si cela correspond à leur solution interne.
La combinaison des données de contact CRM, des hachages d’authentification et de l’analyse de session dans un seul export est également structurellement cohérente. Les fournisseurs d’hébergement maintiennent régulièrement exactement ce type de données clients intégrées. Elles incluent un CRM pour la gestion des contacts, un système d’authentification pour les connexions du panneau de contrôle et une couche de suivi de session pour l’analyse de l’engagement client.
La structure du jeu de données, si elle est authentique, représenterait une exportation à partir de trois systèmes internes interconnectés plutôt qu’une seule fuite d’une base de données.
Home.pl : Qui sont-ils et quels sont les enjeux ?
Home.pl est loin d’être un petit fournisseur régional. Fondée à Szczecin en 1997, la société clame héberger environ la moitié de tous les sites polonais. Elle se décrit également comme le premier fournisseur d’hébergement web en Pologne. Selon sa page d’accueil, l’hébergeur compterait plus de 300 000 clients et plus de 1 200 000 services actifs.
Home.pl appartient à IONOS SE, qui est elle-même filiale de United Internet AG. Ce conglomérat Internet allemand coté en bourse détient également 1&1, IONOS, Strato et d’autres marques européennes d’hébergement. United Internet a acquis Home.pl en décembre 2015 pour environ 135 millions d’euros, plus 20 millions d’euros de reprise de dette.
L’entreprise dispose d’une équipe de support de plus de 400 personnes. Sa clientèle est concentrée sur le marché polonais des PME et des professionnels. Elle comprend des entreprises de tous les secteurs de l’économie polonaise.
Le plus grand piratage de l’histoire sur le marché polonais
L’importance du jeu de données présumé semble s’adapter à cette base de clients. Des centaines de milliers d’enregistrements provenant du plus grand hébergeur web de Pologne représenteraient l’une des plus grandes expositions aux données personnelles dans l’histoire de l’hébergement polonais.
Les types de données incluraient notamment les dates de naissance, les hachages de mots de passe, les numéros de téléphone, les adresses e-mail, les adresses postales et le statut du compte. Elles constitueraient donc un ensemble de données de grande valeur pour le piratage d’identifiants, le phishing et l’ingénierie sociale.
Des pirates détiendrait ainsi les noms d’utilisateur de connexion authentiques et les mots de passe hachés pour les comptes home.pl. Ils disposeraient donc d’une voie viable pour prendre le contrôle des comptes, voire davantage pour les clients qui réutilisent leurs mots de passe dans l’ensemble des services.
Les indicateurs d’opt-in marketing et les mesures d’engagement permettraient des campagnes de phishing hautement ciblées. Celles-ci pourraient alors être construites autour du statut de compte connu et des modèles d’activité d’une cible. Si vous êtes clients de Home.pl, vous avez donc de bonnes raisons de vous méfier!
La lacune de vérification et les obligations du RGPD
Au moment de la rédaction de cet article, Home.pl n’a publié aucune déclaration sur son blog, son centre d’aide ou ses canaux de médias sociaux concernant l’annonce présumée. CERT Polska n’a émis aucun avis.
L’autorité polonaise de protection des données, UODO (Urząd Ochrony Danych Osobowych), n’a publié aucune mesure d’exécution ni notification de violation en référence à Home.pl. Aucune publication de sécurité polonaise n’a signalé la réclamation non plus. On ne sait donc toujours pas si les données sont authentiques, ou si hame.pl a subi une violation.
La véracité de la liste n’est toujours pas confirmée
L’absence de couverture ne permet pas de confirmer ni d’invalider la menace. Les listes de forums sur la cybercriminalité pour les principaux fournisseurs apparaissent fréquemment. Elles sont ensuite vérifiées plusieurs jours ou semaines plus tard.
Elles se révèlent également fréquemment être fabriqués ou recyclés à partir de violations antérieures. Certaines sont aussi assemblés à partir de sources accessibles au public réétiquetées sous une marque connue.
Une vérification indépendante nécessite de comparer les échantillons de données annoncés avec les dossiers clients réputés valides. Sans cela, la validité de la liste ne peut pas être confirmée.
Si l’équipe de sécurité interne de Home.pl a déterminé qu’une violation s’est produite, l’article 33 du RGPD impose une obligation de notification de 72 heures à UODO dès que le responsable du traitement prend connaissance d’une violation.
L’article 34 exige la notification aux personnes concernées sans retard injustifié lorsque la violation est susceptible d’entraîner un risque élevé pour leurs droits et libertés. Un jeu de données combinant mots de passe, coordonnées personnelles et dates de naissance atteindrait presque certainement ce seuil. Home.pl auraient donc normalement dû signaler la violation. Du moins, elles auraient dû la signaler si la violation avait été détectée.
Home.pl est membre du groupe IONOS/United Internet. Il dispose donc d’une infrastructure de conformité RGPD très mature. Si une violation a été confirmée, elle aurait dû donné lieu à une notification publique dans les 72 heures suivant la découverte interne,
Le fait qu’aucun avertissement n’ait été émis signifie soit que la violation n’a pas été confirmée en interne, soit que la notification a été déposée auprès d’UODO de manière non publique. Ce type d’avis discret est autorisé par le règlement dans certaines circonstances.
La Pologne: une cible privilégié des cyberattaques
Le contexte de menace en Pologne est un élément pertinent à noter. La Pologne s’est classée au premier rang mondial pour les attaques de rançongiciels détectées au cours du premier semestre 2025.
Le pays représentait alors environ 6 % de tous les incidents mondiaux. C’est ainsi plus de 88 % des organisations polonaises qui ont déclaré avoir subi une cyberattaque ou une brèche au cours de cette période. Le pays est donc une cible active, particulièrement pour les pirates russes. Ceux-ci lanceraient ainsi des milliers d’attaques chaque jour en sur des sites polonais.
En décembre 2025, Dom Development, l’un des plus grands promoteurs immobiliers résidentiels de Pologne, a confirmé avoir détecté un accès non autorisé à des systèmes contenant des données personnelles de clients, d’employés et de prestataires.
En avril 2026, un jeu de données de 130 000 à 145 000 enregistrements clients provenant de deux entreprises polonaises de commerce électronique a été rendue publique. La fuite potentielle chez Home.pl arrive donc dans un environnement où les organisations polonaises à toutes les échelles sont sous pression active de nombreuses menaces.
Plusieurs des attaques ciblant la Pologne seraient liées à des enjeux géopolitiques. On observe ainsi que la vaste majorité des attaques proviendraient de Russie, de Corée du Nord et d’Iran. Leur nombre a également augmenté de manière importante depuis le début du conflit en Ukraine. On peut donc évidemment y voir une conséquence de la position polonaise dans le conflit et le rôle du pays au sein de l’OTAN.
Ce que les clients de Home.pl doivent faire maintenant que leurs données sont sur le dark web
Le fait que la liste ne soit pas validée comme authentique ne signifie pas que les clients doivent attendre la confirmation avant d’agir. Le risque pratique existe bel et bien. Et ce, que le jeu de données spécifique soit authentique ou non. Les identifiants des clients home.pl sont une cible connue depuis des années. Ils doivent donc être traités avec une prudence toute particulière.
Les campagnes de phishing tentent déjà d’usurper l’identité des systèmes de facturation et de renouvellement de domaine de home.pl. Elles sont documentées depuis au moins 2020 et ciblent régulièrement les clients. Toute exposition de justificatifs authentiques accélère donc ces campagnes déjà existantes.
Les clients de Home.pl doivent changer dès maintenant le mot de passe de leur compte d’hébergement. C’est d’autant plus crucial s’ils le réutilisent pour un ou plusieurs autres services. Un mot de passe haché dans un jeu de données divulgué n’est pas en texte brut. Il peut néanmoins être craqué, et n’est donc pas totalement à l’abri. Vous devez donc rester vigilant, même avec la 2fa.
Évitez les mots de passe courants, les mots de passe courts et les mots de passe basés sur des mots du dictionnaire. Ne vous basez pas non plus sur des informations personnelles comme les dates de naissance. Celles-ci figurent d’ailleurs dans le jeu de données présumé. Elles peuvent donc être récupérés à partir de hachages en quelques heures à l’aide d’outils de piratage accélérés par GPU.
Même si votre mot de passe était fort en 2020, il pourrait ne pas résister aux outils de craquage disponibles en 2026. C’est particulièrement vrai si l’algorithme de hachage sous-jacent est plus ancien. Vous devriez donc changer votre mot de passe dès maintenant, même s’il est haché.
La 2fa peut aider à minimiser les risques
Si vous êtes client de l’hébergeur polonais, vous devez également activer l’authentification à deux facteurs sur votre compte home.pl si vous ne l’avez pas déjà fait. Vous devez ensuite aussi auditer les sessions actives via le panneau de contrôle du compte pour tout accès non reconnu. N’hésitez pas à prendre immédiatement des mesures si vous détectez des actions inhabituelles.
Traitez aussi toute communication entrante qui fait référence à des détails de compte home.pl avec une vigilance accrue. Et ce, quel que soit son formatage convaincant. Le message que vous recevez pourrait très bien provenir d’un pirate.
Le jeu de données qui a fui combinerait l’adresse e-mail, le nom d’utilisateur du compte, le numéro de téléphone et le statut du compte. Il fournirait donc tout ce qui est nécessaire pour construire un message d’hameçonnage convaincant faisant référence à des informations personnelles précises. Vous devriez donc être très vigilant face à toute communication provenant de Home.pl.
Pour conclure sur la fuite des données des clients de Home.pl vers le dark web
Nous vous informons régulièrement de failles de sécurité survenant chez divers hébergeurs web. Si elle se confirme, la fuite des données des clients de Home.pl vers le dark web serait néanmoins l’un des pires incidents survenus en Europe en 2026. On continuera donc de suivre avec intérêts les potentiels développements de cette affaire.
Si vous êtes client de Home.pl, on vous recommande toutefois d’agir immédiatement. Prenez des mesures dès maintenant afin de minimiser les chances que vos données et celles de vos visiteurs soient compromises. Vous pourrez ainsi éviter le pire si jamais les données s’avèrent authentiques.
Si vous utilisez le même mots de passes pour d’autres services, il est d’autant plus essentiel d’agir rapidement. Sinon, vous pourriez voir plusieurs de vos services en ligne être compromis. Vous pourriez alors subir des conséquences allant bien au-delà de votre hébergement web.
On doit encore une fois vous rappeler que la validité de la liste n’est toujours pas confirmée. Les données semblent néanmoins assez crédibles pour que l’on recommande à tous les clients de l’hébergeur de se protéger dès maintenant. Si c’est votre cas, il est donc temps de changer votre mot de passe et d’activer la 2fa! Agissez dès maintenant, avant que des pirates n’achètent et n’exploitent ces données.
Nous espérons que cet article vous a plus et vous a éclairé sur la possible fuite des données des clients de Home.pl vers un site du dark web fréquenté par les pirates. Si c’est le cas, nous vous invitons à consulter nos autres articles et comparatifs de notre blog. Vous y trouverez les informations les plus récentes sur l’industrie l’hébergement et sur la création de sites web.
