En bref

  • La police néerlandaise a annoncé en juillet 2026 posséder de « fortes indications » que des criminels locaux ont participé au breach Odido de février 2026, qui a exposé les données personnelles de 6,2 millions de clients — soit un tiers de la population des Pays-Bas.
  • L'attaque avait débuté par un appel de vishing : un homme néerlandophone se faisant passer pour un technicien IT d'Odido avait convaincu des employés de se connecter à un faux site, permettant le vol de données massif et la demande d'une rançon d'un million d'euros.
  • La police envisage de rendre publique un enregistrement vocal du suspect pour solliciter des témoignages du public si les investigations n'aboutissent pas rapidement à une identification formelle.

Cinq mois après le mega-breach Odido, la police néerlandaise remonte la piste d'un réseau criminel local

Cinq mois après l'une des plus importantes fuites de données télécom en Europe, la police néerlandaise a annoncé en juillet 2026 un développement significatif dans l'enquête sur le breach Odido : les enquêteurs disposent désormais de « multiples fortes indications » que des criminels néerlandais ont joué un rôle clé dans l'attaque. Cette révélation, rapportée par NL Times, DutchNews.nl et The Record from Recorded Future News, recentre les projecteurs sur une affaire qui avait secoué les Pays-Bas lors de sa divulgation le 13 février 2026.

Odido est le troisième opérateur télécom des Pays-Bas, né de la fusion de T-Mobile Netherlands et de Tele2 Netherlands en 2023. En février 2026, la société a révélé que des hackers avaient compromis son système de contact client et téléchargé les données personnelles de 6,2 millions de clients — soit approximativement un tiers de l'ensemble de la population néerlandaise. Les informations volées comprennent des adresses postales, des numéros de téléphone et — fait particulièrement grave — les numéros de sécurité sociale néerlandais (BSN, Burgerservicenummer), équivalents fonctionnels du numéro de sécurité sociale français. Des données appartenant à des membres du gouvernement néerlandais et à des personnes bénéficiant de mesures de protection officielle ont également été trouvées dans le lot exfiltré, selon NL Times et plusieurs médias néerlandais.

La chronologie de l'attaque révèle un mode opératoire soigneusement préparé. Avant la compromission technique, un homme néerlandophone s'est fait passer pour un technicien informatique d'Odido et a appelé le service client de l'entreprise. Lors de cet appel, en jouant sur la complicité et l'autorité perçue d'un collègue IT, il a persuadé des employés de se connecter à un site frauduleux, leur fournissant ainsi — sans qu'ils s'en rendent compte — les identifiants permettant aux attaquants d'accéder au système de contact client. C'est ce mécanisme de vishing, simple dans son exécution mais redoutablement efficace, qui a servi de point d'entrée initial à la compromission.

Le groupe derrière l'opération est identifié dans les rapports de sécurité et les communications d'Odido sous le nom ShinyHunters — un collectif cybercriminel connu pour des breaches de grande ampleur contre des plateformes tech mondiales, dont Ticketmaster, Santander et AT&T en 2024. Après avoir exfiltré les données, le groupe a exigé une rançon d'un million d'euros. Odido a refusé de payer. En représailles, ShinyHunters a publié les données sur des forums du dark web, les rendant accessibles à d'autres acteurs malveillants — fraudeurs à l'identité, spammers, opérateurs de phishing ciblé utilisant les informations personnelles volées pour crédibiliser leurs approches.

En juillet 2026, la police néerlandaise a précisé les contours de son enquête lors d'une déclaration publique. Elle a identifié l'existence d'un complice local, un citoyen néerlandais qui aurait joué un rôle dans l'appel de vishing préalable à l'attaque — potentiellement le locuteur natif dont la maîtrise de la langue néerlandaise et du jargon professionnel télécom a rendu la manipulation des employés d'Odido suffisamment crédible pour fonctionner. Les enquêteurs ont indiqué travailler à identifier formellement cet individu ainsi que d'éventuels autres suspects impliqués dans l'organisation locale du réseau criminel.

La police a annoncé une mesure inhabituelle pour accélérer les identifications : si les investigations en cours ne permettent pas d'identifier formellement le suspect dans un délai raisonnable, les enquêteurs envisagent de rendre publique un enregistrement de la voix de l'appelant, espérant que des témoins ou des proches puissent reconnaître la personne. La police a également lancé un appel public à témoins, invitant quiconque disposerait d'informations sur les responsables à les contacter. Cette démarche témoigne des difficultés à convertir des indications solides en identification formelle, notamment dans le contexte d'une opération cybercriminelle transnationale qui brouille les pistes juridictionnelles.

Du côté des victimes, les conséquences du breach restent actives cinq mois après sa divulgation. Les 6,2 millions de personnes dont les données ont été exposées — notamment les BSN — restent exposées à des risques d'usurpation d'identité, de fraude administrative et de phishing ultra-ciblé exploitant les données personnelles volées. L'Autoriteit Persoonsgegevens (APD), l'autorité néerlandaise de protection des données, a ouvert une enquête sur Odido pour déterminer si l'entreprise avait pris des mesures de sécurité suffisantes pour protéger les données de ses clients, notamment en matière de formation des employés à la résistance aux techniques d'ingénierie sociale. BleepingComputer et Infosecurity Magazine ont suivi l'affaire depuis sa divulgation initiale, notant qu'il s'agit du plus grand breach télécom jamais enregistré aux Pays-Bas.

La dimension politique du dossier a maintenu une pression médiatique et institutionnelle soutenue. La présence de données gouvernementales dans le lot volé a conduit le Parlement néerlandais à interpeller le gouvernement sur la sécurité des données télécom nationales. Selon State of Surveillance et Sequenxa, qui ont documenté les détails techniques de la brèche, la facilité avec laquelle le vishing a contourné les contrôles d'accès techniques d'Odido soulève des questions structurelles sur les procédures de vérification des opérateurs télécom européens dans leur ensemble, à l'heure où les obligations de sécurité imposées par NIS2 se renforcent.

Vishing, télécoms et la difficile équation de la résistance au facteur humain

Le breach Odido illustre une problématique récurrente dans la sécurité des grandes organisations : la sophistication des systèmes techniques peut être contournée par une manipulation ciblée du facteur humain. Odido disposait vraisemblablement de contrôles d'accès techniques sur son système de contact client. Mais aucun contrôle technique ne compense l'absence de procédures de vérification robustes face à une demande de connexion formulée par téléphone par une personne prétendant être un collègue IT. La langue maternelle du visher — le néerlandais courant — a créé un sentiment de légitimité immédiate que les employés ciblés n'ont pas remis en question.

Ce cas rappelle plusieurs précédents emblématiques. La compromission de T-Mobile USA en 2021 avait utilisé des techniques d'ingénierie sociale pour accéder aux systèmes d'assistance interne, aboutissant au vol de données de plus de 100 millions de clients. Le breach de MGM Resorts en 2023, orchestré par Scattered Spider, avait reposé sur un appel de vishing de dix minutes pour convaincre le service IT de réinitialiser l'accès d'un employé — ouvrant la voie à un incident de ransomware estimé à plus de 100 millions de dollars de pertes. Dans ces trois cas, la technique d'attaque initiale n'était pas la plus sophistiquée techniquement : c'est l'absence de procédures opposables à l'ingénierie sociale qui avait permis l'intrusion.

Pour le secteur télécom en particulier, les enjeux sont amplifiés par la nature même de l'activité. Les opérateurs disposent par nature d'une quantité massive de données personnelles sensibles sur des millions de clients, et leurs centres d'assistance client traitent quotidiennement des demandes de modification d'accès et de vérification d'identité — créant un terrain structurellement fertile pour les attaques de vishing. Les réglementations NIS2, dont la transposition en droit néerlandais et français est en cours d'achèvement, imposent désormais aux opérateurs de communications électroniques de renforcer leurs processus de sécurité organisationnelle, y compris les procédures de résistance à l'ingénierie sociale et la vérification hors-bande des demandes d'accès sensibles.

L'implication potentielle d'un gang local dans l'attaque Odido soulève également une question structurelle sur le recrutement cybercriminel transnational. ShinyHunters, identifié comme le groupe principal, est actif à l'international. Mais la réussite de l'attaque a requis un locuteur natif néerlandais, capable de simuler de manière convaincante un technicien IT dans un contexte professionnel local précis. Cette combinaison — expertise cybercriminelle internationale et complicité locale au service du vishing — est de plus en plus fréquente dans les grands incidents de sécurité, et constitue un défi particulier pour les enquêteurs qui doivent coordonner leurs actions à travers des juridictions multiples, entre Europol et les services judiciaires des pays concernés.

Ce qu'il faut retenir

  • Le breach Odido a exposé les données de 6,2 millions de Néerlandais — dont BSN et données gouvernementales — via un vishing préparatoire en langue néerlandaise permettant l'accès au système de contact client, suivi d'une exfiltration par ShinyHunters.
  • La police néerlandaise identifie un complice local et pourrait rendre public un enregistrement vocal du visher pour solliciter des témoignages ; l'enquête souligne la difficulté à identifier des suspects dans des opérations cybercriminelles transnationales.
  • Pour tout opérateur gérant des données à grande échelle, l'incident confirme que la formation à la résistance au vishing et les procédures de vérification hors-bande sont des contrôles de sécurité non négociables, au même titre que les contrôles techniques.

Que doivent faire les personnes dont les données ont été exposées dans le breach Odido ?

Les personnes concernées doivent rester vigilantes face aux tentatives de phishing et de smishing (SMS frauduleux) exploitant leurs données personnelles, notamment toute approche mentionnant Odido ou demandant une vérification d'identité. Toute demande inhabituelle faisant référence au numéro de sécurité sociale (BSN) doit être traitée avec la plus grande méfiance. En cas d'utilisation frauduleuse du BSN, la démarche consiste à contacter la mairie de résidence et à signaler l'usurpation à l'Autoriteit Persoonsgegevens (APD), l'autorité néerlandaise de protection des données. Odido a mis en place un service d'information dédié aux victimes, accessible depuis son site officiel, pour accompagner les clients dans les démarches de protection.

Besoin d'un accompagnement expert ?

Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.

Prendre contact