19 JUIN 2026
● OPÉRATIONNEL
DÉCODEUR CYBER
LES ALERTES DU CERT-FR · VULGARISÉES · POUR TOUS
CERT-FR ↗
ACTUALITÉ7 MIN DE LECTURE· 1 JUIN 2026

Cyberattaque Laforêt : 2 millions de comptes en fuite, que faire en 2026 ?

Fuite de données Laforêt 2026 : 2 millions de comptes clients à vendre sur le dark web, mots de passe en clair. Risques, vérifications et bons réflexes.

D

Décodeur Cyber

Veille cybersécurité & vulgarisation

Cyberattaque Laforêt : 2 millions de comptes clients en vente sur un forum cybercriminel

Le 30 mai 2026, une base de données attribuée à Laforêt, l'un des plus grands réseaux d'agences immobilières en France, est apparue à la vente sur un forum cybercriminel. Plus de 2 millions de comptes clients seraient concernés, avec — fait aggravant — des mots de passe visibles en clair dans les échantillons publiés. Voici ce que l'on sait, ce que ça implique concrètement, et les réflexes à adopter si vous avez un compte sur laforet.com.

Ce que l'on sait de la cyberattaque Laforêt

Le 30 mai 2026, un acteur malveillant a mis en vente, pour la somme dérisoire de 100 dollars, une base de données présentée comme issue du portail laforet.com. La publication, repérée par l'observatoire indépendant Cyberattaque.org, évoque plus de 2 millions de comptes utilisateurs.

Les premiers échantillons publiés par l'attaquant contiennent un mélange inquiétant d'informations personnelles et d'identifiants techniques :

  • Nom et prénom
  • Adresse e-mail
  • Numéro de téléphone
  • Identifiant de connexion
  • Références des agences associées
  • Informations de session
  • Coordonnées liées aux annonces consultées
  • Mots de passe visibles en clair ou faiblement protégés

À l'heure de la publication de cet article, Laforêt n'a pas confirmé officiellement la fuite ni publié de communiqué dédié. L'enseigne a néanmoins déjà alerté à plusieurs reprises ses clients sur des tentatives de fraude utilisant son nom et son logo, signe que l'usurpation d'identité commerciale est un risque qu'elle connaît bien.

⚠️ À retenir : une fuite contenant des mots de passe en clair est l'un des pires scénarios possibles pour un site grand public. Cela signifie soit que les mots de passe étaient stockés sans hachage, soit qu'ils ont été interceptés au moment de la saisie.

Pourquoi 2 millions de comptes Laforêt, ça compte (beaucoup)

Avec plusieurs centaines d'agences franchisées sur tout le territoire et un site générant un trafic massif, Laforêt fait partie des marques immobilières les plus reconnaissables en France. Une fuite à cette échelle ne se résume donc pas à une simple compromission d'identifiants : elle livre aux cybercriminels un annuaire ciblé de propriétaires, locataires, acheteurs et vendeurs, avec leurs centres d'intérêt immobiliers et leur agence référente.

Pour 100 dollars, n'importe quel escroc peut désormais :

  1. Lancer des campagnes de phishing ultra-crédibles se faisant passer pour un conseiller Laforêt local — la mention de la « bonne agence » dans le mail rend la fraude redoutablement convaincante.
  2. Tester les mots de passe sur d'autres services (banque, messagerie, sites e-commerce) via une attaque dite de credential stuffing.
  3. Usurper l'identité de l'enseigne pour proposer de fausses annonces immobilières ou demander des virements vers de faux RIB — un type de fraude que Laforêt a déjà signalé sur plusieurs de ses agences ces derniers mois.

Comment vérifier si vos données Laforêt sont concernées

À ce stade, aucun service officiel ne permet de savoir avec certitude si votre compte fait partie de la fuite. Quelques réflexes simples permettent toutefois de réduire le doute :

  • Vérifier votre adresse e-mail sur Have I Been Pwned : la base est régulièrement enrichie des fuites publiques, et Laforêt y apparaîtra probablement dans les prochaines semaines.
  • Consulter FrenchBreaches : l'observatoire francophone publie des alertes nominatives sur les fuites françaises.
  • Surveiller vos e-mails : la première vague de phishing post-fuite arrive généralement dans les 7 à 14 jours.

Que faire si vous avez un compte Laforêt : 6 actions concrètes

1. Changer immédiatement votre mot de passe Laforêt

Connectez-vous sur laforet.com et modifiez votre mot de passe sans attendre. Choisissez un mot de passe unique, d'au moins 14 caractères, mêlant majuscules, minuscules, chiffres et caractères spéciaux.

2. Changer ce même mot de passe partout où vous l'avez réutilisé

C'est l'étape la plus souvent négligée — et la plus dangereuse. Si votre mot de passe Laforêt était aussi celui de votre boîte mail, de votre banque ou de votre compte Amazon, changez-les tous. C'est précisément ce que vise une attaque de credential stuffing.

3. Activer la double authentification (2FA / MFA)

Sur tous les services qui le proposent : messagerie, banque, réseaux sociaux. Un mot de passe compromis devient inutile si l'attaquant n'a pas le code envoyé sur votre téléphone. La CNIL recommande explicitement le MFA, et son absence a coûté 42 millions d'euros d'amende à Free en janvier 2026 après une fuite comparable.

4. Méfiance maximale sur les e-mails « Laforêt » des prochaines semaines

Tout message évoquant un dossier en cours, un nouveau RIB, une visite à confirmer ou une offre exceptionnelle doit être considéré comme suspect par défaut. Ne cliquez sur aucun lien. En cas de doute, appelez directement votre agence avec le numéro affiché sur le site officiel (jamais celui du mail).

5. Surveiller votre compte bancaire et vos virements

Si vous êtes en cours de transaction immobilière (achat, vente, location), toute demande de changement de RIB doit être vérifiée par téléphone auprès de votre interlocuteur connu. Cybermalveillance.gouv.fr recense ce type de fraude au faux conseiller comme l'un des scénarios les plus coûteux pour les particuliers en 2026.

6. Signaler tout mail frauduleux

Transférez les tentatives de phishing à signal-spam.fr et à reportphishing@anti-phishing-working-group.org. Vous pouvez aussi déposer plainte sur cybermalveillance.gouv.fr.

Pourquoi l'immobilier est devenu une cible de choix en 2026

Laforêt n'est pas un cas isolé. Depuis le début 2026, le secteur immobilier français accumule les incidents :

  • Apogas Immobilier : données clients et vendeurs exposées après une cyberattaque.
  • La Boîte Immo : 28 000 enregistrements en circulation sur un forum cybercriminel.
  • EnVisite : plus de 138 000 visites virtuelles compromises.
  • Le Figaro Immobilier : plus de 99 300 factures exposées.
  • Janvier 2026 : 1,2 million de documents (500 Go) issus de plusieurs SCI et agences publiés en bloc.

Trois raisons expliquent cette concentration d'attaques :

  1. Des données à très forte valeur d'usage : un dossier immobilier contient pièce d'identité, RIB, justificatifs de revenus, contrats. Une mine d'or pour l'usurpation d'identité.
  2. Une maturité cyber hétérogène : les grands réseaux franchisés cohabitent avec de petites agences sans RSSI ni budget sécurité.
  3. Une transaction immobilière = un virement de plusieurs dizaines à centaines de milliers d'euros : la fraude au faux RIB est extrêmement rentable pour les attaquants.

Que doivent faire les agences immobilières (PME concernées)

Si vous gérez une agence ou un réseau immobilier, la fuite Laforêt est un signal d'alarme. Quatre priorités immédiates :

  • Auditer le stockage des mots de passe : aucun mot de passe utilisateur ne doit être stocké en clair. Utiliser bcrypt, argon2 ou scrypt avec un salt unique par utilisateur.
  • Imposer le MFA sur tous les comptes administratifs et clients.
  • Cartographier les sous-traitants qui hébergent vos bases clients (CRM, portails de visite, signature électronique) : la chaîne d'approvisionnement est souvent le maillon faible.
  • Préparer un plan de communication de crise : qui prévient les clients, sous combien de temps, par quel canal ? Le RGPD impose une notification CNIL sous 72 heures.

En résumé

À retenir
QuoiMise en vente d'environ 2 millions de comptes clients Laforêt sur un forum cybercriminel
QuandPublication repérée le 30 mai 2026
DonnéesIdentité, contact, identifiants et mots de passe en clair
RisquesPhishing ciblé, credential stuffing, fraude au faux RIB
Statut officielPas de communiqué Laforêt à ce jour
Priorité 1Changer son mot de passe Laforêt et tous ses doublons
Priorité 2Activer le MFA partout où c'est possible

Si vous avez un compte Laforêt, n'attendez pas la confirmation officielle pour agir. Les attaquants, eux, n'attendront pas.

Pour aller plus loin

Sources principales : Cyberattaque.org · FrenchBreaches · CNIL · Cybermalveillance.gouv.fr

TAGS :cyberattaquelaforetgrand publicPMEimmobilier
RÉAGIR :
← TOUS LES ARTICLES
PARTAGER :X ↗LINKEDIN ↗
À LIRE AUSSI
VOIR TOUT →
ACTUALITÉ

Fuite de données Bouygues Telecom (mai 2026) : 4,5 M clients, que faire ?

Bouygues Telecom confirme une nouvelle fuite de données : 4,5 millions de clients exposés via l'outil TECH360. Données concernées, risques, et les 7 actions à prendre dès maintenant.

9 MINLIRE →
ACTUALITÉ

Piratage Canvas : 275 millions d'étudiants exposés par ShinyHunters

ShinyHunters a piraté Instructure et Canvas en mai 2026. 275 millions d'étudiants concernés, 9 000 écoles : décryptage, données volées et conseils de protection.

10 MINLIRE →
ACTUALITÉ

Plan cyber de l'État : ce que change le plan Lecornu (200 M€)

Plan cyber de l'État : 200 M€, autorité numérique, fonds CNIL... Décodage du plan annoncé par Sébastien Lecornu après l'affaire ANTS.

8 MINLIRE →