Le 15 mai 2026, TechCrunch révélait une découverte stupéfiante : un système d'enregistrement hôtelier sans contact, utilisé dans plusieurs établissements au Japon, avait laissé plus d'un million de passeports, permis de conduire et selfies de vérification accessibles à quiconque disposait d'un simple navigateur web. Aucun mot de passe, aucun pare-feu. Juste un bucket Amazon S3 nommé « tabiq », grand ouvert sur internet. Pour les touristes français ayant séjourné au Pays du Soleil Levant, cette fuite pourrait bien être un cauchemar administratif qui dure des années.
Un bucket S3 oublié : comment TechCrunch a découvert le pot de miel « tabiq »
Tout commence par un geste banal de la cybersécurité : la chasse aux buckets S3 mal configurés. Anurag Sen, chercheur indépendant en sécurité chez CyPeace, scrute régulièrement le cloud public à la recherche de bases de données laissées sans protection. Ce jour-là, il tombe sur un nom qui claque : « tabiq ». Pas de mot de passe, pas d'authentification. Juste une porte grande ouverte sur un trésor numérique.
Le chercheur Anurag Sen face à une montagne de données sans mot de passe
Sen ne perd pas une seconde. Il comprend immédiatement la nature des fichiers : des scans haute définition de passeports, des permis de conduire, des selfies. Des documents qui, contrairement à un mot de passe, ne se changent pas. Il contacte TechCrunch pour servir d'intermédiaire, une pratique courante lorsque l'entreprise responsable est difficile à joindre ou basée à l'étranger.
Reqrea, la startup japonaise à l'origine de Tabiq, a réagi rapidement après avoir été alertée par TechCrunch et JPCERT, l'équipe japonaise de coordination cybersécurité. Le bucket a été sécurisé en quelques heures. Mais le mal était fait : la fenêtre d'exposition exacte reste inconnue, et le volume de données est colossal.
Selfies, passeports, permis : le trésor numérique déterré par l'enquête
Le contenu exact du bucket donne le vertige. Des scans de passeports en haute résolution, des permis de conduire recto verso, et surtout des selfies de vérification — ces photos que les clients prennent devant la borne d'enregistrement pour confirmer leur identité. Chaque document est une clé d'identité numérique complète.
Ce qui rend cette fuite particulièrement dangereuse, c'est la qualité des données. Il ne s'agit pas de mots de passe hashés ou de numéros de cartes bancaires cryptés. Ce sont des images brutes, exploitables immédiatement par n'importe quel fraudeur. Un passeport scanné en 300 DPI, c'est l'équivalent numérique d'un chéquier vierge signé.
Le rôle clé de TechCrunch et JPCERT dans la notification
Le processus de divulgation responsable a joué un rôle crucial. TechCrunch, en partenariat avec JPCERT, a identifié Reqrea comme propriétaire des données et a procédé à une notification discrète. La startup japonaise a fermé l'accès au bucket dans les heures suivant l'alerte. Mais cette réactivité ne change rien au fait que des données sensibles ont été exposées pendant une durée indéterminée, potentiellement des mois.
Touristes français au Japon : étiez-vous filmé et scanné par Tabiq ?
Pour le public français, la question est brûlante. Tabiq est déployé dans des hôtels japonais, et la France est l'un des premiers marchés touristiques du Japon. Plus de 700 000 Français visitaient le Japon chaque année avant la pandémie, et les chiffres repartent fortement à la hausse en 2025-2026. La probabilité que des données de voyageurs français aient été exposées est très élevée.
Mon hôtel utilisait-il Tabiq ? Pourquoi il est impossible de le savoir avec certitude
Reqrea n'a pas publié de liste officielle des établissements équipés de son système. Le flou est total. Tabiq est un système d'enregistrement sans contact, souvent intégré à une borne dans le hall de l'hôtel. Le client ne voit pas le nom du logiciel, il pose simplement son passeport sur le scanner.
Pour tenter de savoir si vous avez croisé Tabiq, fouillez vos emails de confirmation de séjour. Recherchez les mots « Tabiq » ou « Reqrea » dans les messages de réservation. Si vous avez utilisé une borne d'enregistrement automatique dans un hôtel japonais récent, le risque existe. Mais sans communication officielle, impossible d'être certain.
750 000 voyageurs par an : l'ampleur potentielle de l'exposition pour la France
Les chiffres du tourisme franco-japonais donnent une idée de l'ampleur potentielle. En 2024, près de 600 000 Français ont visité le Japon. Les prévisions pour 2026 dépassent les 750 000. Si la fenêtre d'exposition du bucket s'étend sur plusieurs mois, voire années, des dizaines de milliers de Français pourraient être concernés.
Chaque voyageur qui a présenté son passeport à une borne d'enregistrement dans un hôtel équipé de Tabiq a potentiellement vu ses documents exposés. Et contrairement à une fuite de mots de passe que l'on peut changer en cinq minutes, un passeport est valide dix ans.
Le précédent italien : 100 000 scans volés dans des hôtels en 2025
En août 2025, près de 100 000 scans de passeports avaient été volés dans des hôtels italiens et mis en vente sur le dark web. Ce précédent montre que les systèmes d'enregistrement hôtelier sont des cibles de choix pour les cybercriminels. Les hôtels collectent massivement des données d'identité sans toujours les protéger, et le dark web regorge d'offres pour ces documents.
Passeport volé vs carte bleue : pourquoi cette fuite est bien plus grave qu'une autre
On a tendance à minimiser les fuites de données. Un numéro de carte bleue, on le fait opposition. Un email, on change de mot de passe. Mais un scan de passeport, c'est une tout autre histoire. C'est votre identité légale, votre nationalité, votre date de naissance, votre photo officielle. Tout ce qu'il faut pour devenir vous.
Le scénario de l'usurpation d'identité : ouvrir un crédit avec votre vrai visage
Avec un scan de passeport et un selfie de vérification, un fraudeur peut ouvrir un compte bancaire en ligne en votre nom. Il peut souscrire un crédit rapide, louer un appartement, ou même créer une entreprise. Les documents sont authentiques, les selfies correspondent à la photo du passeport. Les contrôles automatisés des banques en ligne ne feront pas la différence.
Des cas concrets existent déjà. En 2024, une enquête de l'AFP révélait que des scans de passeports volés dans des hôtels italiens servaient à ouvrir des comptes bancaires en Europe de l'Est. Les victimes découvraient l'usurpation des mois plus tard, lors d'un refus de prêt ou d'un contrôle fiscal.
L'arnaque au remboursement : le phishing sur-mesure qui vous attend
Les cybercriminels ne vont pas se contenter d'usurper des identités. Ils vont aussi exploiter les données pour du spear-phishing d'une efficacité redoutable. Imaginez recevoir un email : « Bonjour [votre prénom], suite à l'incident de sécurité Tabiq, nous vous remboursons votre séjour. Cliquez ici pour confirmer vos coordonnées bancaires. »
L'email contient votre numéro de passeport, la date de votre séjour, le nom de l'hôtel. Tout est crédible. Le taux de succès de ces attaques dépasse les 60 %, selon les études en cybersécurité. Les escrocs vont massivement exploiter cette actualité dans les semaines à venir.
Pourquoi les données biométriques sont irréversibles
Un mot de passe se change. Un numéro de carte bancaire se remplace. Mais une photo de visage, une signature, une empreinte digitale ? Impossible. Les selfies de vérification exposés dans cette fuite sont des données biométriques. Une fois compromises, elles le sont pour toujours. Les fraudeurs peuvent les utiliser pour contourner des systèmes de reconnaissance faciale, ou pour créer des documents d'identité falsifiés d'une qualité bien supérieure.
Reqrea face au RGPD : pourquoi la startup japonaise pourrait avoir un problème avec la CNIL
Le RGPD ne s'arrête pas aux frontières de l'Europe. Toute entreprise qui traite des données de citoyens européens, où qu'elle soit dans le monde, est soumise au règlement. Reqrea, basée au Japon, traite potentiellement des données de milliers de touristes français. La question n'est pas de savoir si le RGPD s'applique, mais si Reqrea l'a respecté.
L'obligation de notification sous 72 heures : le silence assourdissant de Reqrea
L'article 33 du RGPD est clair : toute violation de données personnelles doit être notifiée à l'autorité de contrôle compétente dans les 72 heures. Si des données de citoyens européens sont compromises, la CNIL doit être informée. Or, à ce jour, aucune communication officielle de Reqrea n'a été faite.
La CNIL n'a pas non plus publié de communiqué sur cette fuite. Ce silence est préoccupant. Soit Reqrea n'a pas notifié la violation, soit elle l'a fait discrètement. Dans les deux cas, les victimes potentielles sont laissées dans l'ignorance, sans information sur la marche à suivre.
Une amende à huit chiffres ? Le calcul des sanctions pour un million de données exposées
Les sanctions RGPD peuvent atteindre 4 % du chiffre d'affaires annuel mondial. Pour une fuite d'un million de documents classés « sensibles » — une catégorie spécifique du RGPD qui inclut les données biométriques et les pièces d'identité — l'addition peut être salée.
À titre de comparaison, Uber avait écopé d'une amende de 10 millions d'euros pour une fuite de 57 millions d'utilisateurs. Marriott avait été sanctionné à hauteur de 20 millions d'euros pour 339 millions de dossiers clients exposés. Pour un million de documents d'identité, la sanction pourrait atteindre plusieurs millions d'euros, même si le chiffre d'affaires de Reqrea est probablement modeste.
Les limites du RGPD face aux entreprises étrangères
Le RGPD est un texte ambitieux, mais son application extraterritoriale est complexe. La CNIL peut théoriquement enquêter et sanctionner Reqrea, mais la coopération avec les autorités japonaises n'est pas automatique. Le Japon a son propre cadre légal sur la protection des données, la loi APPI, mais les sanctions sont moins dissuasives qu'en Europe. Cette affaire met en lumière les failles d'un système où les données des citoyens européens circulent chez des acteurs étrangers sans garanties suffisantes.
4 réflexes de survie numérique après la fuite Tabiq (méthode CNIL)
L'information est tombée, l'angoisse monte. Mais il est encore temps d'agir. La CNIL a publié des recommandations précises pour les victimes de fuites de données. Voici la marche à suivre, étape par étape.
Faire opposition sur vos titres d'identité : la procédure pas à pas
C'est la mesure la plus efficace, mais aussi la plus lourde. Rendez-vous sur Service-Public.fr et utilisez le téléservice Perceval de l'ANTS. Déclarez la perte ou le vol de vos papiers d'identité. Cela invalide les anciens scans et rend inutilisables les documents exposés.
Attention : cette procédure implique de demander un nouveau passeport et une nouvelle carte d'identité. Comptez plusieurs semaines, voire mois, de délai. Mais c'est la seule façon de stopper net une usurpation d'identité. Si vous avez séjourné dans un hôtel japonais récemment, n'attendez pas.
Double authentification et surveillance des comptes : le minimum syndical
Activez la double authentification (2FA) sur tous vos comptes sensibles : banque, Impots.gouv, Ameli, Assurance retraite. Utilisez une application d'authentification plutôt que les SMS, plus vulnérables au SIM swapping.
Surveillez vos relevés bancaires de près. La moindre anomalie — un petit virement, un abonnement inconnu — doit être signalée immédiatement. Utilisez un gestionnaire de mots de passe pour éviter la réutilisation des mêmes identifiants sur plusieurs sites.
Ne répondez PAS aux emails des « hôtels de Tokyo » : parer le phishing
Les semaines à venir vont voir fleurir des campagnes de phishing exploitant la fuite Tabiq. Méfiez-vous de tout email, SMS ou appel qui mentionne l'incident, propose un remboursement, ou demande une vérification d'identité.
Ne cliquez sur aucun lien. Ne communiquez aucune information personnelle. Si vous avez un doute, contactez directement votre hôtel ou votre agence de voyage via les canaux officiels — pas via le numéro ou l'adresse email fournis dans le message suspect.
Déposer plainte en cas d'usurpation : les démarches concrètes
Si vous constatez des signes d'usurpation d'identité — un crédit que vous n'avez pas souscrit, un compte bancaire inconnu, un contrôle fiscal injustifié — la CNIL recommande de déposer plainte. Rendez-vous dans n'importe quel commissariat ou gendarmerie, ou utilisez la plateforme de plainte en ligne du ministère de l'Intérieur. Conservez tous les documents prouvant l'usurpation : relevés bancaires, courriers, emails suspects.
ANTS, Booking, Tabiq : le spectaculaire enchaînement des fuites de 2026
Cette fuite n'est pas un accident isolé. 2025-2026 s'impose comme une année noire pour les données d'identité en France et dans le monde. L'affaire Tabiq s'inscrit dans une série d'incidents qui révèlent une vulnérabilité systémique.
11,7 millions de comptes France Connect piratés : les leçons non retenues
En avril 2026, Le Monde révélait une cyberattaque massive contre l'ANTS, l'Agence Nationale des Titres Sécurisés. 11,7 millions de comptes France Connect étaient compromis. Des données personnelles — noms, dates de naissance, numéros de sécurité sociale — avaient été dérobées.
Quelques semaines plus tard, c'est au tour de Booking.com de confirmer une intrusion de données. Et en août 2025, près de 100 000 scans de passeports avaient été volés dans des hôtels italiens et mis en vente sur le dark web. La répétition des incidents montre que le secteur des titres d'identité numériques est devenu une cible prioritaire, sans que les mesures de protection ne suivent.
Faut-il continuer à tendre son passeport à la réception de l'hôtel ?
La question mérite d'être posée. La photocopie systématique des passeports à l'hôtel est une pratique généralisée, justifiée par des obligations légales de déclaration auprès des autorités locales. Mais à quel prix ?
En Italie, 100 000 scans volés. Au Japon, 1 million de documents exposés. Partout dans le monde, des hôtels numérisent les papiers d'identité sans toujours les protéger. La fuite de l'application Duc en France, qui avait exposé 360 000 fichiers, montrait déjà que le problème n'est pas limité aux hébergements étrangers.
Le secteur hôtelier, maillon faible de la cybersécurité
Les hôtels collectent des données d'identité de manière systématique, mais leurs systèmes de protection sont souvent rudimentaires. Beaucoup utilisent des logiciels vieillissants, des serveurs non sécurisés, ou stockent les scans dans des dossiers partagés sans restriction d'accès. Le cas Tabiq n'est pas une exception, mais la conséquence logique d'un secteur où la sécurité des données n'est pas une priorité.
Dites adieu au passeport papier à la réception ? Les leçons de l'affaire Tabiq
L'affaire Tabiq est un signal d'alarme. Elle montre les limites d'un système où des entreprises privées collectent des données d'identité sans garanties suffisantes. Mais elle ouvre aussi une piste : celle de l'identité numérique.
France Identité et l'identité numérique : la solution pour ne plus scanner vos papiers ?
L'application France Identité permet déjà de générer un justificatif numérique avec QR code, utilisable pour France Connect+. Le principe est simple : au lieu de confier une copie de votre passeport, vous présentez un QR code temporaire que l'hôtel peut vérifier sans stocker vos données.
L'adoption par les hôtels est encore balbutiante, mais l'affaire Tabiq pourrait accélérer les choses. Si les établissements peuvent vérifier l'identité des clients sans conserver de copies numériques, le risque de fuite massive diminue considérablement. C'est une piste concrète pour sortir du cercle vicieux des photocopies de passeports.
Vers une régulation internationale des données d'identité
L'affaire Tabiq pose aussi la question d'une régulation internationale plus stricte. Les données d'identité sont devenues une marchandise très prisée sur le dark web, et les entreprises qui les collectent doivent être tenues responsables. Des discussions sont en cours au niveau de l'Union européenne pour renforcer les obligations des hébergeurs et des plateformes de réservation.
Le Japon, de son côté, pourrait être amené à réviser sa loi APPI pour imposer des sanctions plus lourdes en cas de négligence. Mais ces réformes prendront du temps. En attendant, la responsabilité repose largement sur les épaules des consommateurs.
Conclusion : l'affaire Tabiq, un électrochoc pour la protection des données
La leçon de l'affaire Tabiq est double. D'un côté, elle rappelle l'impuissance juridique face à des acteurs étrangers qui traitent nos données sans respecter les standards européens. De l'autre, elle redonne du pouvoir au citoyen : faire opposition sur ses papiers, activer la double authentification, et refuser de confier son passeport à tout va.
L'identité numérique, portée par France Identité, pourrait être la solution de long terme pour ne plus avoir à scanner ses papiers à chaque séjour à l'hôtel. En attendant, la prudence reste de mise. Vérifiez vos comptes, ne répondez pas aux emails suspects, et si vous avez séjourné au Japon récemment, envisagez sérieusement de faire opposition sur vos titres d'identité. Un passeport, ça se change. Une identité usurpée, c'est des années de démarches pour la récupérer.
