Une faille dans un logiciel tiers a permis de compromettre la plateforme e-mail mutualisée que KDDI exploite pour six FAI japonais, exposant jusqu'à 14,22 millions d'identifiants e-mail.
Un jeu de données baptisé FortiBleed a exposé des identifiants VPN Fortinet FortiGate valides — mots de passe en clair compris — pour 73 932 URL de pare-feu réparties dans 194 pays, fruit d'un groupe russophone qui a réutilisé des mots de passe issus de fuites antérieures et de journaux d'infostealers plutôt qu'une nouvelle vulnérabilité Fortinet.
En mai 2026, l'entreprise de télécommunications Charter Communications (la société mère de la marque grand public de haut débit et de câble Spectrum) a été nommée par le groupe ShinyHunters dans une campagne d'extorsion de type "payer ou divulguer".
Vers le 10 avril 2026, un acteur malveillant a mis en vente DB Telecom (Service Telecom) — opérateur de téléphonie IP basé à Marseille sur le réseau Orange/Or-Tel — divulguant une base d'environ 41 470 clients et 2 835 372 enregistrements (noms, contacts, mots de passe en clair et e-mails internes).
En avril 2026, le réseau commercial de proxys résidentiels et FAI LegionProxy a subi une fuite de données. L'incident a exposé 10 k adresses e-mail, des hachages de mots de passe bcrypt, des noms et des achats.
Le 30 mars 2026, le groupe d'extorsion ALP-001 a affiché le groupe télécom français Iliad (maison mère de Free) sur son site de fuite, publiant un échantillon de 5,4 Go de données d'ingénierie réseau mobile — mesures radio, tests GPS et données d'optimisation — et menaçant d'une divulgation plus large.
Début 2026, le cabinet de conseil français en aménagement numérique Tactis a été frappé par le rançongiciel Qilin, qui a inscrit la société sur son site de fuite et menacé de publier des données internes liées à ses projets télécoms et de villes intelligentes pour des clients publics et privés.
Le 18 février 2026, Réglo Mobile — l'opérateur mobile virtuel adossé à E.Leclerc et SFR — a annoncé qu'une attaque visant l'un de ses prestataires depuis le 13 février avait exposé les données d'environ 358 000 clients : identité, coordonnées, dates de naissance, codes PUK, relevés d'appels et données bancaires partielles, la base étant mise en vente par l'acteur « 84City ».
L'opérateur français de téléphonie mobile et d'internet Coriolis Télécom a été touché par une fuite de données : un pirate a mis en vente sur le dark web une base de 356 Mo contenant 508 276 fiches clients — noms, adresses postales et e-mail, dates de naissance, coordonnées bancaires IBAN/BIC et numéros SIRET d'entreprises.
Le 20 janvier 2026, une base de données d'environ 108 000 clients de l'opérateur mobile virtuel français Syma Mobile a été mise en vente sur un forum du dark web, exposant noms, dates de naissance, adresses postales et e-mail, numéros de téléphone et copies de pièces d'identité.
Corse GSM, opérateur mobile et internet indépendant de Corse, a été touché par une fuite de données révélée le 8 janvier 2026 exposant environ 23 920 comptes clients, dont des noms, adresses postales, numéros de téléphone et coordonnées bancaires (IBAN/BIC).
Les gérants et responsables d’environ 600 clubs L’Orange Bleue seraient concernés par une fuite de données interne datant de juin 2025, selon la revendication. Un échantillon public analysé comprend…
Les clients et partenaires d'AXYON sont concernés par une fuite revendiquée qui porterait sur environ 340 Go de données internes, selon la revendication. AXYON propose des services d'ingénierie B2B…
Altitude Infra, important opérateur français indépendant d'infrastructure fibre, a vu ~5,76 Go (52 fichiers) dérobés depuis un extranet partenaire et mis en vente en ligne, exposant documentation réseau, fichiers partenaires FAI et données d'éligibilité de clients finaux, sur ses 3M+ de prises raccordées.
En décembre 2025, l'opérateur télécom français SFR a révélé une fuite de données touchant les clients de Red by SFR, exposant noms, adresses postale et e-mail, numéros de téléphone et références client après la compromission d'un outil interne de gestion des raccordements fibre.
En novembre 2025, la filiale française de l'opérateur néerlandais de réseaux fibre Eurofiber a été compromise via une faille d'injection SQL dans son système de tickets GLPI obsolète, exposant des données techniques et des identifiants liés à plus de 3 600 organisations clientes, dont de grandes entreprises et institutions publiques.
En septembre 2025, une base de 117 963 clients de Syma Mobile — exposant noms, dates de naissance, adresses postales et e-mail, numéros de téléphone et pièces d'identité — a été mise en vente sur un forum du dark web aux côtés d'autres bases françaises.
Le 6 août 2025, l'opérateur français Bouygues Telecom a révélé une cyberattaque ayant exposé les données personnelles de 6,4 millions de comptes clients, dont coordonnées, données contractuelles, état civil et IBAN (sans numéros de carte ni mots de passe).
Le 25 juillet 2025, le groupe télécom français Orange a détecté un accès non autorisé à l'un de ses systèmes d'information ; le groupe rançongiciel Warlock a ensuite revendiqué l'attaque et publié environ 4 Go de données, qualifiées par Orange d'anciennes ou peu sensibles.
En avril 2025, Carrefour Mobile, l'opérateur mobile (MVNO) belge du groupe Carrefour, a subi une fuite de données exposant les informations personnelles d'environ 64 000 clients : noms, coordonnées, adresses postales, mots de passe du portail et, pour certains, numéros de passeport.
Un logiciel malveillant voleur d'informations sur les postes de plus de 15 employés de Telefónica a fourni au groupe de rançongiciel Hellcat des identifiants pour accéder au système interne de tickets Jira de l'entreprise. L'ingénierie sociale a permis d'élever l'accès jusqu'au SSH. Le groupe n'a pas extorqué — il a publié 2,3 Go, dont 24 000 courriels d'employés, 470 000 tickets Jira internes et 5 000 documents internes.
Une base de données contenant environ 22 millions d'enregistrements de clients de Movistar Pérou — numéros DNI, noms, dates de naissance et adresses collectés entre 2016 et 2018 — a circulé librement sur des forums de piratage pendant les fêtes de décembre.
Le 24 novembre 2024, un cybercriminel a mis en vente une fuite de données personnelles de 3,6 millions de clients de l'opérateur télécom français SFR — noms, adresses postales et e-mail, dates de naissance et numéros de téléphone — ainsi que 150 000 IBAN proposés séparément sur le dark web.
Fin octobre 2024, le FAI français Free (groupe Iliad) a révélé une cyberattaque : des assaillants ont accédé à un outil de gestion interne, exposant l'identité et les coordonnées d'abonnés ainsi qu'environ 5,1 millions d'IBAN ; les données ont ensuite été mises aux enchères et vendues en ligne.
Salt Typhoon, lié à la Chine, a infiltré au moins neuf opérateurs télécoms américains — Verizon, AT&T, T-Mobile, Spectrum, Lumen, Consolidated, Windstream — y compris les systèmes CALEA d'interception légale utilisés pour les écoutes autorisées par la justice. Les métadonnées de plus d'un million d'utilisateurs ont été exposées ; le Trésor américain a sanctionné un sous-traitant chinois lié.
En septembre 2024, RED by SFR — la marque mobile low-cost de l'opérateur français SFR — a révélé une fuite touchant plusieurs dizaines de milliers de clients récents, exposant noms, coordonnées, IBAN et identifiants SIM/terminal après l'accès des attaquants à un outil de gestion des commandes.
AT&T a révélé que des attaquants avaient utilisé des identifiants volés par des infostealers pour s'authentifier auprès de son locataire d'entrepôt de données cloud Snowflake — dépourvu de MFA — et exfiltrer les métadonnées d'appels et de SMS couvrant la quasi-totalité de ses 110 millions de clients mobiles.
Un acteur malveillant a mis en vente environ 278 Go de données dérobées à l'opérateur télécom public indien BSNL — dont des numéros IMSI, des détails de cartes SIM, des données du registre de localisation et des clés de sécurité — exposant des millions d'abonnés au clonage de SIM et à la fraude, lors de la deuxième violation de l'opérateur en six mois.
En février 2024, l'opérateur télécom australien Tangerine a subi une fuite de données qui a exposé plus de 200 000 dossiers clients. Attribuées à une ancienne base de données clients, les données comprenaient des adresses postales et e-mail, des noms, des numéros de téléphone et des dates de naissance.
En décembre 2023, des centaines de gigaoctets de données prétendument issues du fournisseur indien d'accès Internet et de télévision numérique Hathway sont apparues sur un site web de piratage populaire. L'incident a exposé de nombreuses informations personnelles, dont 4,7 millions d'adresses e-mail uniques ainsi que des noms, des adresses postales et IP, des numéros de téléphone…
En mai 2023, le détaillant sud-africain JD Group a annoncé une fuite de données touchant un certain nombre de ses actifs en ligne, notamment Bradlows, Everyshop, HiFi Corp, Incredible (Connection), Rochester, Russells et Sleepmasters.
Cl0p a exploité la CVE-2023-34362 dans MOVEit Transfer de Progress Software pour rançonner plus de 2 700 organisations, dont la BBC, British Airways et le département américain de l’Énergie.
Victim
Progress Software MOVEit Transfer (2 700+ en aval)
Des acteurs liés à la Corée du Nord ont trojanisé le client softphone 3CXDesktopApp, diffusant le maliciel SmoothOperator via une mise à jour signée légitimement à une base de plus de 600 000 organisations clientes — la première compromission en cascade documentée de la chaîne d'approvisionnement logicielle, elle-même rendue possible par une compromission antérieure du logiciel de trading X_TRADER.
Des affiliés de LockBit ont chiffré les systèmes d'exportation internationale de Royal Mail, paralysant tous les services postaux vers l'étranger depuis le Royaume-Uni pendant six semaines. Royal Mail a publiquement refusé la demande de rançon de 65,7 M£ ; LockBit a divulgué progressivement les données exfiltrées.
Une API non authentifiée a exposé les données personnelles de 9,8 millions de clients actuels et anciens d’Optus — noms, dates de naissance, passeports, permis de conduire — à un attaquant anonyme.
Une heure avant l'invasion de l'Ukraine par la Russie, les opérateurs de Sandworm ont déployé le wiper AcidRain contre les modems satellite Viasat KA-SAT, neutralisant définitivement environ 30 000 terminaux européens et 5 800 éoliennes allemandes, et privant le commandement et le contrôle militaires ukrainiens de leurs communications.
L'opérateur mobile croate A1 Hrvatska a révélé un accès non autorisé à une base de données clients exposant les noms, numéros d'identification personnels, adresses et numéros de téléphone d'environ 200 000 abonnés — soit près de 10 % de sa base de clients.
Une cyberattaque délibérée contre Vodafone Portugal a paralysé les données mobiles 4G/5G, la voix fixe, les SMS et la télévision pour des millions de clients dans tout le pays, perturbant pendant plusieurs jours les services d'urgence, hospitaliers et bancaires.
John Binns, un Américain de 21 ans vivant en Turquie, a affirmé avoir piraté T-Mobile via un routeur GGSN exposé et exfiltré les données personnelles de 76,6 millions de clients actuels, anciens et potentiels.
Le gang RansomEXX a frappé l'opérateur télécom public équatorien CNT, perturbant son portail de paiement et ses centres d'appels et revendiquant le vol de plus de 190 Go de données d'entreprise et de clients.
Victim
Corporación Nacional de Telecomunicaciones (CNT EP)
Le gang Babuk a compromis le distributeur de mobiles espagnol The Phone House et divulgué environ 100 Go de données clients — noms, numéros d'identité, coordonnées bancaires et de contact concernant jusqu'à 3 millions de personnes — après le refus de l'entreprise de payer.
La base de données clients de Ho. Mobile, l'opérateur à bas coût de Vodafone Italie, a été volée et mise en vente sur le dark web — exposant les données personnelles et SIM d'environ 2,5 millions d'abonnés italiens et entraînant un remplacement massif des cartes SIM.
Des opérateurs du SVR russe ont trojanisé l'infrastructure de compilation de SolarWinds Orion, distribuant une mise à jour dotée d'une porte dérobée à 18 000 clients, dont les départements américains du Trésor, du Commerce, de la Sécurité intérieure, d'État et de l'Énergie. L'opération d'cyberespionnage étatique emblématique de la décennie.
Victim
SolarWinds (clients Orion — ~18 000 organisations dont 9 agences fédérales américaines ainsi que Microsoft, FireEye, Mimecast)
Une attaque par déni de service distribué en plusieurs vagues, avec un trafic dix fois supérieur à la normale, a brièvement perturbé les services bancaires et de télécommunications hongrois, ce que Magyar Telekom a qualifié de l'une des plus grandes cyberattaques jamais observées en Hongrie.
En 2024, des données relatives à un service inconnu désigné sous le nom de « Hopamedia » et remontant à 2020 sont apparues dans une base de données exposée publiquement. Les données comprenaient près de 24 millions d'enregistrements contenant adresse e-mail, nom, numéro de téléphone, le pays de la personne et son opérateur de télécommunications.
En avril 2020, le fournisseur d'accès à Internet népalais Vianet a subi une fuite de données. L'attaque contre le FAI a entraîné l'exposition de 177 000 enregistrements clients, dont 94 000 adresses e-mail uniques. Des noms, des numéros de téléphone et des adresses postales ont également été exposés.
Une partie non autorisée a exploité une faille dans l'application d'enregistrement prépayé de Virgin Mobile Polska pour accéder aux données personnelles de plus de 114 000 abonnés, dont les numéros d'identité PESEL et les données de carte d'identité. L'autorité polonaise de protection des données a infligé à l'opérateur une amende de près de 2 millions de PLN pour des tests de sécurité insuffisants.
Mi-2021, des rapports ont fait état d'une fuite de données de l'entreprise indonésienne de télécommunications IndiHome. Plus de 26 millions de lignes de données prétendument issues de l'entreprise ont été publiées sur un forum de piratage populaire et contenaient 12,6 millions d'adresses e-mail uniques ainsi que des noms, adresses IP, genres et…
En mai 2019, l'existence d'une vaste opération de spam par SMS connue sous le nom d'« ApexSMS » a été révélée, après qu'une instance MongoDB du même nom a été trouvée exposée sans mot de passe.
Citizen Lab a découvert des équipements d'inspection profonde de paquets Sandvine PacketLogic sur le réseau de Telecom Egypt, redirigeant secrètement les utilisateurs en masse vers des publicités d'affiliation et des scripts de minage de cryptomonnaie, tout en bloquant des dizaines de sites d'information et de défense des droits humains.
Victim
Abonnés internet de Telecom Egypt (des millions d'utilisateurs égyptiens)
Les données personnelles de 46,2 millions d'abonnés mobiles malaisiens — noms, numéros de carte d'identité, numéros de carte SIM et IMSI, et adresses provenant d'au moins une douzaine d'opérateurs et de MVNO — ont été divulguées et mises en vente en ligne, dans la plus grande fuite de données de l'histoire de la Malaisie.
Victim
Opérateurs mobiles malaisiens (Maxis, Celcom, DiGi, U Mobile et autres)
Un wiper destructeur déguisé en rançongiciel, propagé via une mise à jour compromise d'un logiciel comptable ukrainien. Estimé à 10 milliards de dollars de dommages dans le monde — la cyberattaque la plus dévastatrice économiquement de l'histoire.
Victim
Utilisateurs de M.E.Doc (Maersk, Merck, FedEx-TNT, Mondelez, Saint-Gobain et autres)
En mai 2017, l'entreprise de télécommunications canadienne Bell a subi une fuite de données entraînant l'exposition de millions de dossiers clients. Les données ont par conséquent été divulguées en ligne, accompagnées d'un message de l'attaquant déclarant qu'il « rendait publique une partie importante des données de Bell.ca en raison du…
Le jour où WannaCry a éclaté dans le monde entier, le ver a déferlé sur le réseau interne du géant espagnol des télécoms Telefónica, contraignant l'entreprise à ordonner à des milliers d'employés de son siège madrilène d'éteindre leurs ordinateurs.
Un ver rançongiciel nord-coréen qui a exploité la vulnérabilité SMB EternalBlue pour se propager à environ 200 000 systèmes dans 150 pays en 24 heures. Il a paralysé le NHS britannique et mis à genoux l'industrie manufacturière à l'échelle mondiale.
Victim
~200 000 organisations dans le monde (NHS britannique, Telefónica, Renault, Deutsche Bahn, Honda et autres)
Une attaque DDoS massive du botnet Mirai contre le fournisseur de DNS managé Dyn a mis hors ligne Twitter, Netflix, Spotify, GitHub, Reddit et des dizaines d'autres grands sites aux États-Unis et en Europe, démontrant comment un botnet d'objets connectés compromis pouvait perturber de larges pans d'Internet.
Une campagne DDoS de deux semaines revendiquée par Anonymous a mis hors ligne les systèmes bancaires en ligne et de paiement par carte turcs et frappé l'infrastructure NIC.tr d'un déluge de 40 Gbit/s, perturbant environ 400 000 domaines .tr à l'échelle nationale.
Une attaque par injection SQL — commise principalement par quatre adolescents britanniques — a exposé les données personnelles d'environ 157 000 clients de TalkTalk, y compris des coordonnées bancaires. Elle a déclenché une amende record de 400 000 £ de l'ICO britannique.
En février 2015, la base de données du fournisseur d'accès Internet moldave « StarNet » a été publiée en ligne. Le dump comprenait près de 140 000 adresses e-mail, dont beaucoup étaient accompagnées de détails personnels incluant des coordonnées, des habitudes d'utilisation du FAI et même des numéros de passeport.