Après Autoécole.net, Autosur ou encore Leocare, c’est au tour d’Indigo — leader du stationnement urbain — d’être la cible d’une cyberattaque massive. Avec la numérisation croissante des services liés à l’automobile, les automobilistes et leurs données sont devenus des cibles stratégiques pour les cybercriminels.
Piratage d’Indigo : des milliers de plaques d’immatriculation compromises
Le 22 avril 2025, Indigo a officiellement reconnu avoir subi une intrusion dans ses systèmes informatiques. Le groupe, opérant dans plus de 750 villes dans 11 pays, gère plus de 2,5 millions de places de stationnement. Selon sa communication, l’attaque aurait permis un accès non autorisé à certaines bases de données clients, contenant : noms, adresses, e-mails, numéros de téléphone et plaques d’immatriculation.
Si les données bancaires et les mots de passe ne sont pas concernés selon Indigo, les informations volées suffisent à mener des actions frauduleuses ciblées, notamment via la reproduction de plaques (« doublettes »), ou l’envoi de faux courriels de notification d’amendes.
Les automobilistes exposés au risque de doublette
La fuite de plaques d’immatriculation dans les bases d’Indigo expose directement les usagers au risque de “doublette”. Cette technique consiste à copier frauduleusement une plaque sur un autre véhicule, qui peut alors circuler impunément.
Le vrai propriétaire, lui, risque de recevoir des contraventions pour des infractions qu’il n’a pas commises — radar, stationnement gênant, accès interdit en ZFE, etc.Ce type d’usurpation demande ensuite au particulier de contester chaque amende, souvent sans aide directe de l’opérateur concerné, ni dispositif de soutien juridique.
Un précédent chez Autosur : 4 millions de clients exposés
L’affaire Indigo survient un mois après celle d’Autosur. Dans ce dernier cas, les cybercriminels ont exfiltré les données de plus de 4 millions de clients, incluant identifiants personnels, historiques de contrôles techniques et plaques d’immatriculation. Une partie de ces fichiers a été retrouvée sur des forums du darknet, proposée à la vente.
Loin d’être isolées, ces attaques mettent en évidence un ciblage systématique : les automobilistes, tout comme les entreprises qui leur proposent des services — assurances, auto-écoles, centres de contrôle technique, garages, parkings ou bornes de recharge — sont devenus des cibles privilégiées. En cause : la forte valeur marchande de leurs données et la faiblesse persistante des standards de cybersécurité dans l’ensemble de cet écosystème.
Une alerte pour les acteurs économiques et les décideurs
Ce type d’incident n’est pas seulement un problème de conformité au RGPD : il engage la résilience économique d’un pan entier des services aux particuliers.
Aucun mécanisme de coordination sectorielle n’existe à ce jour entre les plateformes de mobilité, les opérateurs urbains et les autorités de régulation. Résultat : chaque acteur gère sa crise de manière autonome, avec des capacités d’anticipation et de réponse très hétérogènes.
Pour les villes, les entreprises et les assureurs, chaque faille peut générer :
– des pertes d’exploitation liées à la baisse d’usage des plateformes ;
– des surcoûts de gestion client (contestation, litiges) ;
– une perte de confiance dans la transition numérique du secteur automobile.
