Odido alerte sur une attaque visant son service client, détectée le 7 février 2026, avec une exposition de données personnelles à grande échelle.
Odido, opérateur néerlandais né d’un rebranding en 2023, reconnaît une cyberattaque ayant visé son système de relation client. Découvert le 7 février 2026, l’incident aurait exposé des données personnelles de millions d’abonnés, sans toucher, selon l’entreprise, les mots de passe, les paiements, l’historique d’appels ou la géolocalisation. Nu.nl évoque 6,2 millions d’abonnés concernés.
Une intrusion dans la relation client, le cœur sensible
Le scénario a tout d’un choc silencieux, parce qu’il ne s’attaque pas d’abord aux réseaux, mais à l’endroit où l’entreprise “connaît” ses clients. Odido, l’un des principaux opérateurs et fournisseurs de services mobiles aux Pays-Bas, explique avoir subi une cyberattaque qui a compromis des informations hébergées dans son système de gestion des contacts. L’incident aurait été repéré le 7 février 2026, au moment où des accès anormaux ont révélé une compromission du système utilisé par le service client.
Le point crucial, dans ce type d’attaque, tient à la nature des données, moins techniques que profondément identifiantes, celles qui permettent d’associer une personne à une ligne, un compte, une adresse, parfois un identifiant bancaire. le type de fuite que l’on a pu voir, en France pour SFR, Bouygues, Corsica Telecom, Lyca, etc.
Odido a résumé publiquement la situation dans une formule qui vise à circonscrire le risque tout en confirmant la réalité de la fuite : « Odido a été victime d’une cyberattaque ayant compromis des données clients », a déclaré l’entreprise. « Les informations personnelles issues de son système de gestion des contacts clients ont été affectées. Les mots de passe, l’historique des appels et les informations de paiement n’ont pas été touchés. » L’opérateur insiste aussi sur ce qui n’aurait pas été atteint, notamment les enregistrements d’appels, les données de géolocalisation et les numérisations de documents, éléments qui auraient aggravé l’exposition en cas de diffusion.
News & Réseaux Sociaux ZATAZ
Chaque vendredi midi, recevez gratuitement les actualités de la semaine.
Quelles données, quels risques, quelle réponse d’Odido
Odido indique que l’étendue exacte varie selon les clients, ce qui suggère une base hétérogène, alimentée par des parcours différents, souscriptions, mises à jour, vérifications d’identité. Les éléments susceptibles d’avoir été exposés incluent le nom et le prénom, l’adresse et la ville de résidence, le numéro de mobile, le numéro client, l’adresse e-mail, l’IBAN, la date de naissance, ainsi que des informations liées au document d’identité, comme le numéro de passeport ou de permis de conduire et une date d’expiration. Même sans mots de passe, un tel ensemble ouvre un terrain de jeu pour l’usurpation d’identité et la fraude sociale, en particulier via des approches ciblées où l’attaquant prouve qu’il “sait”, pour pousser la victime à divulguer le reste.
L’opérateur affirme avoir réagi vite après la découverte. Les équipes auraient immédiatement bloqué l’accès non autorisé aux données clients, puis notifié l’incident à l’autorité néerlandaise de protection des données, l’Autoriteit Persoonsgegevens. Dans la foulée, Odido dit avoir renforcé les mesures de sécurité et la surveillance d’activités suspectes, tout en faisant intervenir des spécialistes externes en cybersécurité pour investiguer, comprendre le mode opératoire et réduire les conséquences. Ce triptyque, couper l’accès, signaler au régulateur, diligenter une enquête technique, dessine une gestion de crise où l’objectif n’est pas seulement de réparer, mais de reprendre l’initiative face à des adversaires qui ont déjà franchi la porte.
Dans ce type d’affaire, la question de fond dépasse l’incident : quand l’outil de service client devient la cible, c’est l’architecture de confiance, identités, accès, journalisation, qui se retrouve au centre du renseignement offensif.
