La police néerlandaise annonce de fortes indications impliquant un gang local dans le mega-breach Odido (6,2 millions de victimes, février 2026). La voix du visher pourrait être rendue publique pour obtenir des témoignages.
En bref
- La police néerlandaise a annoncé en juillet 2026 posséder de « fortes indications » que des criminels locaux ont participé au breach Odido de février 2026, qui a exposé les données personnelles de 6,2 millions de clients — soit un tiers de la population des Pays-Bas.
- L'attaque avait débuté par un appel de vishing : un homme néerlandophone se faisant passer pour un technicien IT d'Odido avait convaincu des employés de se connecter à un faux site, permettant le vol de données massif et la demande d'une rançon d'un million d'euros.
- La police envisage de rendre publique un enregistrement vocal du suspect pour solliciter des témoignages du public si les investigations n'aboutissent pas rapidement à une identification formelle.
Cinq mois après le mega-breach Odido, la police néerlandaise remonte la piste d'un réseau criminel local
Cinq mois après l'une des plus importantes fuites de données télécom en Europe, la police néerlandaise a annoncé en juillet 2026 un développement significatif dans l'enquête sur le breach Odido : les enquêteurs disposent désormais de « multiples fortes indications » que des criminels néerlandais ont joué un rôle clé dans l'attaque. Cette révélation, rapportée par NL Times, DutchNews.nl et The Record from Recorded Future News, recentre les projecteurs sur une affaire qui avait secoué les Pays-Bas lors de sa divulgation le 13 février 2026.
Odido est le troisième opérateur télécom des Pays-Bas, né de la fusion de T-Mobile Netherlands et de Tele2 Netherlands en 2023. En février 2026, la société a révélé que des hackers avaient compromis son système de contact client et téléchargé les données personnelles de 6,2 millions de clients — soit approximativement un tiers de l'ensemble de la population néerlandaise. Les informations volées comprennent des adresses postales, des numéros de téléphone et — fait particulièrement grave — les numéros de sécurité sociale néerlandais (BSN, Burgerservicenummer), équivalents fonctionnels du numéro de sécurité sociale français. Des données appartenant à des membres du gouvernement néerlandais et à des personnes bénéficiant de mesures de protection officielle ont également été trouvées dans le lot exfiltré, selon NL Times et plusieurs médias néerlandais.
La chronologie de l'attaque révèle un mode opératoire soigneusement préparé. Avant la compromission technique, un homme néerlandophone s'est fait passer pour un technicien informatique d'Odido et a appelé le service client de l'entreprise. Lors de cet appel, en jouant sur la complicité et l'autorité perçue d'un collègue IT, il a persuadé des employés de se connecter à un site frauduleux, leur fournissant ainsi — sans qu'ils s'en rendent compte — les identifiants permettant aux attaquants d'accéder au système de contact client. C'est ce mécanisme de vishing, simple dans son exécution mais redoutablement efficace, qui a servi de point d'entrée initial à la compromission.
Le groupe derrière l'opération est identifié dans les rapports de sécurité et les communications d'Odido sous le nom ShinyHunters — un collectif cybercriminel connu pour des breaches de grande ampleur contre des plateformes tech mondiales, dont Ticketmaster, Santander et AT&T en 2024. Après avoir exfiltré les données, le groupe a exigé une rançon d'un million d'euros. Odido a refusé de payer. En représailles, ShinyHunters a publié les données sur des forums du dark web, les rendant accessibles à d'autres acteurs malveillants — fraudeurs à l'identité, spammers, opérateurs de phishing ciblé utilisant les informations personnelles volées pour crédibiliser leurs approches.
En juillet 2026, la police néerlandaise a précisé les contours de son enquête lors d'une déclaration publique. Elle a identifié l'existence d'un complice local, un citoyen néerlandais qui aurait joué un rôle dans l'appel de vishing préalable à l'attaque — potentiellement le locuteur natif dont la maîtrise de la langue néerlandaise et du jargon professionnel télécom a rendu la manipulation des employés d'Odido suffisamment crédible pour fonctionner. Les enquêteurs ont indiqué travailler à identifier formellement cet individu ainsi que d'éventuels autres suspects impliqués dans l'organisation locale du réseau criminel.
La police a annoncé une mesure inhabituelle pour accélérer les identifications : si les investigations en cours ne permettent pas d'identifier formellement le suspect dans un délai raisonnable, les enquêteurs envisagent de rendre publique un enregistrement de la voix de l'appelant, espérant que des témoins ou des proches puissent reconnaître la personne. La police a également lancé un appel public à témoins, invitant quiconque disposerait d'informations sur les responsables à les contacter. Cette démarche témoigne des difficultés à convertir des indications solides en identification formelle, notamment dans le contexte d'une opération cybercriminelle transnationale qui brouille les pistes juridictionnelles.
Du côté des victimes, les conséquences du breach restent actives cinq mois après sa divulgation. Les 6,2 millions de personnes dont les données ont été exposées — notamment les BSN — restent exposées à des risques d'usurpation d'identité, de fraude administrative et de phishing ultra-ciblé exploitant les données personnelles volées. L'Autoriteit Persoonsgegevens (APD), l'autorité néerlandaise de protection des données, a ouvert une enquête sur Odido pour déterminer si l'entreprise avait pris des mesures de sécurité suffisantes pour protéger les données de ses clients, notamment en matière de formation des employés à la résistance aux techniques d'ingénierie sociale. BleepingComputer et Infosecurity Magazine ont suivi l'affaire depuis sa divulgation initiale, notant qu'il s'agit du plus grand breach télécom jamais enregistré aux Pays-Bas.
La dimension politique du dossier a maintenu une pression médiatique et institutionnelle soutenue. La présence de données gouvernementales dans le lot volé a conduit le Parlement néerlandais à interpeller le gouvernement sur la sécurité des données télécom nationales. Selon State of Surveillance et Sequenxa, qui ont documenté les détails techniques de la brèche, la facilité avec laquelle le vishing a contourné les contrôles d'accès techniques d'Odido soulève des questions structurelles sur les procédures de vérification des opérateurs télécom européens dans leur ensemble, à l'heure où les obligations de sécurité imposées par NIS2 se renforcent.
Vishing, télécoms et la difficile équation de la résistance au facteur humain
Le breach Odido illustre une problématique récurrente dans la sécurité des grandes organisations : la sophistication des systèmes techniques peut être contournée par une manipulation ciblée du facteur humain. Odido disposait vraisemblablement de contrôles d'accès techniques sur son système de contact client. Mais aucun contrôle technique ne compense l'absence de procédures de vérification robustes face à une demande de connexion formulée par téléphone par une personne prétendant être un collègue IT. La langue maternelle du visher — le néerlandais courant — a créé un sentiment de légitimité immédiate que les employés ciblés n'ont pas remis en question.
Ce cas rappelle plusieurs précédents emblématiques. La compromission de T-Mobile USA en 2021 avait utilisé des techniques d'ingénierie sociale pour accéder aux systèmes d'assistance interne, aboutissant au vol de données de plus de 100 millions de clients. Le breach de MGM Resorts en 2023, orchestré par Scattered Spider, avait reposé sur un appel de vishing de dix minutes pour convaincre le service IT de réinitialiser l'accès d'un employé — ouvrant la voie à un incident de ransomware estimé à plus de 100 millions de dollars de pertes. Dans ces trois cas, la technique d'attaque initiale n'était pas la plus sophistiquée techniquement : c'est l'absence de procédures opposables à l'ingénierie sociale qui avait permis l'intrusion.
Pour le secteur télécom en particulier, les enjeux sont amplifiés par la nature même de l'activité. Les opérateurs disposent par nature d'une quantité massive de données personnelles sensibles sur des millions de clients, et leurs centres d'assistance client traitent quotidiennement des demandes de modification d'accès et de vérification d'identité — créant un terrain structurellement fertile pour les attaques de vishing. Les réglementations NIS2, dont la transposition en droit néerlandais et français est en cours d'achèvement, imposent désormais aux opérateurs de communications électroniques de renforcer leurs processus de sécurité organisationnelle, y compris les procédures de résistance à l'ingénierie sociale et la vérification hors-bande des demandes d'accès sensibles.
L'implication potentielle d'un gang local dans l'attaque Odido soulève également une question structurelle sur le recrutement cybercriminel transnational. ShinyHunters, identifié comme le groupe principal, est actif à l'international. Mais la réussite de l'attaque a requis un locuteur natif néerlandais, capable de simuler de manière convaincante un technicien IT dans un contexte professionnel local précis. Cette combinaison — expertise cybercriminelle internationale et complicité locale au service du vishing — est de plus en plus fréquente dans les grands incidents de sécurité, et constitue un défi particulier pour les enquêteurs qui doivent coordonner leurs actions à travers des juridictions multiples, entre Europol et les services judiciaires des pays concernés.
Ce qu'il faut retenir
- Le breach Odido a exposé les données de 6,2 millions de Néerlandais — dont BSN et données gouvernementales — via un vishing préparatoire en langue néerlandaise permettant l'accès au système de contact client, suivi d'une exfiltration par ShinyHunters.
- La police néerlandaise identifie un complice local et pourrait rendre public un enregistrement vocal du visher pour solliciter des témoignages ; l'enquête souligne la difficulté à identifier des suspects dans des opérations cybercriminelles transnationales.
- Pour tout opérateur gérant des données à grande échelle, l'incident confirme que la formation à la résistance au vishing et les procédures de vérification hors-bande sont des contrôles de sécurité non négociables, au même titre que les contrôles techniques.
Que doivent faire les personnes dont les données ont été exposées dans le breach Odido ?
Les personnes concernées doivent rester vigilantes face aux tentatives de phishing et de smishing (SMS frauduleux) exploitant leurs données personnelles, notamment toute approche mentionnant Odido ou demandant une vérification d'identité. Toute demande inhabituelle faisant référence au numéro de sécurité sociale (BSN) doit être traitée avec la plus grande méfiance. En cas d'utilisation frauduleuse du BSN, la démarche consiste à contacter la mairie de résidence et à signaler l'usurpation à l'Autoriteit Persoonsgegevens (APD), l'autorité néerlandaise de protection des données. Odido a mis en place un service d'information dédié aux victimes, accessible depuis son site officiel, pour accompagner les clients dans les démarches de protection.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Meta Muse Spark 1.1 : le modèle IA agentique low-cost qui défie OpenAI et Anthropic
Meta a lancé Muse Spark 1.1 le 9 juillet 2026, un modèle IA multimodal conçu pour les agents autonomes et le coding, avec une fenêtre contextuelle d'un million de tokens et une tarification agressive.
OpenAI lance GPT-Live : la voix IA full-duplex qui écoute et parle simultanément
OpenAI a dévoilé le 8 juillet 2026 GPT-Live, un modèle vocal full-duplex capable d'écouter et de parler en même temps, propulsant ChatGPT Voice dans une nouvelle ère conversationnelle.
Injective Labs : 18 packages npm backdoorés pour voler des clés crypto
Des attaquants ont compromis le dépôt GitHub d'Injective Labs le 8 juillet 2026 pour empoisonner 18 packages npm et dérober des clés privées de wallets crypto.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires
Aucun commentaire pour le moment. Soyez le premier à commenter !
Laisser un commentaire