La violation de données de Zoomcar expose les informations personnelles de 8,4 millions d'utilisateurs

Zoomcar Holdings, une société de partage de voitures peer-to-peer qui met en relation les propriétaires de voitures avec les locataires, a révélé que ses systèmes d'information avaient été consultés sans autorisation, affectant environ 8,4 millions d'utilisateurs.

L'entreprise basée à Bengaluru a découvert cet incident de cybersécurité le 9 juin 2025, après que certains de ses employés ont reçu des messages d'un pirate informatique prétendant détenir des données de l'entreprise. Selon la déclaration officielle de Zoomcar à la Securities and Exchange Commission (SEC) des États-Unis, l'individu non autorisé a eu accès à un ensemble spécifique de données personnelles.

Ces données comprenaient les noms, numéros de téléphone, numéros d'immatriculation, adresses personnelles et adresses e-mail des utilisateurs. Il est important de noter que l'entreprise a déclaré que les preuves actuelles suggèrent que les informations financières, les mots de passe réels ou autres numéros d'identification hautement sensibles n'ont pas été compromis lors de cet incident.

Fondée en 2013, Zoomcar est devenue un acteur majeur du marché de l'autopartage, avec plus de 10 millions d'utilisateurs et une flotte de plus de 25 000 véhicules. Son réseau couvre 99 villes réparties dans plusieurs pays, dont l'Inde, l'Égypte, l'Indonésie et le Vietnam.

Suite à cette découverte, Zoomcar a immédiatement activé son plan de gestion de tels incidents. Parmi les mesures prises, on compte l'ajout de fonctionnalités de sécurité supplémentaires à son cloud et à ses réseaux internes, le renforcement de la surveillance de ses systèmes et la réévaluation des autorisations d'accès.

L'entreprise a également fait appel à des experts externes en cybersécurité pour l'aider dans son enquête. De plus, les autorités gouvernementales et policières compétentes ont été informées, et Zoomcar travaille en étroite collaboration avec elles.

Malgré la gravité de la violation, l'entreprise a déclaré : « À ce jour, l'incident n'a entraîné aucune perturbation significative de ses activités. » Cependant, Zoomcar continue d'évaluer l'ampleur de l'incident, notamment ses éventuelles conséquences juridiques, financières et sur sa réputation, ainsi que les coûts de résolution des problèmes. On ignore encore si les clients concernés ont été directement informés de l'incident ou si l'identité du pirate est connue.

Une histoire de défis en matière de sécurité

Ce n'est pas la première fois que Zoomcar est confrontée à de tels problèmes de sécurité. En juillet 2018, l'entreprise a subi une autre violation de données majeure qui a exposé les informations de 3,6 millions de clients. Cet incident précédent impliquait le vol de noms, d'adresses internet (adresses IP), de mots de passe et de numéros de téléphone. Les informations issues de cette violation de 2018 ont ensuite été mises en vente sur une place de marché du dark web en 2020.

Cet événement récent survient à un moment où d'autres grandes sociétés de location de voitures, telles que Hertz et Avis, ont également signalé des cyberattaques au cours de l'année dernière, soulignant les défis de sécurité persistants dans le secteur de la location de voitures.

« Bien qu'il s'agisse d'une violation de grande ampleur, les informations compromises ne constituent pas une menace directe pour les comptes en ligne ou les finances des victimes », a expliqué Paul Bischoff , défenseur de la confidentialité des consommateurs chez Comparitech.

« Les victimes doivent se méfier des messages d'hameçonnage ciblés et des arnaques par SMS et e-mail. Ces messages peuvent provenir de Zoomcar ou d'une entreprise apparentée. Ne cliquez jamais sur les liens ou les pièces jointes de ces e-mails et SMS non sollicités », a-t-il averti.