/s3/static.nrc.nl/wp-content/uploads/2026/02/24115858/240226VER_2031811658_.jpg)
Publié le 25 février 2026 10:30. Le groupe de cybercriminels ShinyHunters a revendiqué le vol de données de six millions de clients de l’opérateur télécom néerlandais Odido et de sa filiale Ben, exigeant une rançon de plusieurs millions d’euros pour ne pas les divulguer. Cette attaque met en lumière les vulnérabilités des entreprises face aux techniques d’ingénierie sociale et à la montée en puissance de la cybercriminalité.
Le groupe de hackers ShinyHunters a revendiqué l’accès au système de contact client d’Odido et de Ben les 7 et 8 février derniers. Selon l’entreprise, les données de 6,2 millions de clients pourraient avoir été compromises, un chiffre que ShinyHunters chiffre à 8 millions. Les informations volées comprennent des numéros de passeport ou de permis de conduire avec leur date de validité, des noms complets, des adresses, des numéros de téléphone portable, des numéros de client, des adresses e-mail, des numéros de compte bancaire et des dates de naissance.
Odido précise qu’aucun mot de passe, détail d’appel, scan d’identité ou information de facturation n’a été dérobé. ShinyHunters réclame une rançon d’au moins un million d’euros, qualifiée de « petite somme à sept chiffres », pour ne pas publier les données sur le dark web, une partie anonyme d’Internet.
Selon des informations obtenues par RTL Nieuws, qui a pu vérifier une partie des données volées, ShinyHunters a publié une adresse sur le dark web où les données seront divulguées si la rançon n’est pas payée. Sijmen Ruwhof, chercheur en sécurité et hacker éthique, explique que
« Odido se tient le couteau sous la gorge et le dos contre le mur. S’ils paient, les données ne seront pas divulguées, s’ils ne paient pas, tout sera divulgué. Il n’y a pas de zone grise. »
Sijmen Ruwhof, chercheur en sécurité et hacker éthique
Ruwhof décrit ShinyHunters comme un acteur majeur dans le domaine de l’extorsion informatique. Il souligne que le groupe pourrait perdre en crédibilité s’il vendait les données après avoir reçu la rançon, car les futures victimes pourraient alors refuser de payer. L’expert estime que la publication de ces données jeudi prochain les rendra accessibles indéfiniment, créant une sorte de répertoire téléphonique complet avec des informations sensibles, ouvrant la voie à des attaques de phishing ciblées et à des fraudes d’identité.
L’intrusion a été rendue possible grâce à l’utilisation de l’ingénierie sociale, un ensemble de techniques de manipulation psychologique. Les représentants du service client d’Odido ont été dupés par des e-mails de phishing leur demandant leurs identifiants. Les pirates se sont ensuite fait passer pour des collègues du service informatique par téléphone, obtenant ainsi l’approbation des tentatives de connexion et contournant les mesures de sécurité supplémentaires.
ShinyHunters n’en est pas à son premier coup. Le groupe avait menacé de publier les données de 200 millions de clients du site pornographique PornHub il y a quelques mois et avait revendiqué le vol de 560 millions de données clients sur le marché des billets en ligne en 2024, comme l’a rapporté NRC. D’autres grandes entreprises, telles qu’AT&T, Google, Adidas, Air France-KLM et Louis Vuitton, ont également été victimes de cyberattaques ces dernières années. Les entreprises hésitent souvent à admettre qu’elles ont payé une rançon, pour des raisons d’image, d’éthique et de légalité, mais Ruwhof estime que cela arrive fréquemment.
Les pirates laissent des coordonnées dans les systèmes piratés, invitant à négocier via le dark web. Ruwhof explique qu’un « service desk » avec un intermédiaire se met en place pour faciliter les négociations entre les entreprises et les hackers, permettant aux entreprises de vérifier l’étendue de la violation.
En 2023, un étudiant français de 22 ans, membre de ShinyHunters, a été condamné à trois ans de prison et à plus de cinq millions de dollars de dommages et intérêts aux États-Unis pour son implication dans un vol de données à grande échelle et une cyberfraude. Le procureur a qualifié son mobile de « pure cupidité ».
Ruwhof souligne que de nombreux groupes criminels opèrent en Europe de l’Est et en Russie, où les mesures contre ce type d’activités sont moins strictes. Il ajoute que même si un membre d’un tel réseau est arrêté, le reste du groupe continue généralement ses activités. ShinyHunters dispose d’un portefeuille impressionnant, ce qui suggère un réseau étendu, et pourrait même prêter sa réputation à d’autres hackers en échange d’une part de la rançon.
Un porte-parole d’Odido a déclaré que l’affaire faisait l’objet d’une enquête et que l’entreprise ne souhaitait pas commenter la suite de la procédure, la nature de la violation de données ou son intention de payer la rançon.