La police néerlandaise a arrêté un homme de 35 ans soupçonné d’avoir piraté les systèmes numériques de l’AFC Ajax et révélé des failles de sécurité qui pourraient toucher des centaines de milliers de supporters de football.
Les autorités ont arrêté le suspect mardi matin dans la municipalité de Buren à la suite d’une enquête sur un accès non autorisé aux systèmes Ajax plus tôt cette année. Les enquêteurs affirment que l’homme est entré illégalement à plusieurs reprises dans l’infrastructure du club début 2026 sans autorisation.
L’affaire a été rendue publique en mars après que les médias néerlandais RTL Nieuws et BNR ont signalé d’importantes faiblesses de sécurité affectant les systèmes d’application et de billetterie d’Ajax. Selon ces rapports, ces vulnérabilités auraient pu exposer des données privées appartenant à plus de 300 000 partisans enregistrés de l’Ajax.
Les enquêteurs ont indiqué que l’agresseur avait eu accès à des informations liées à plus de 42 000 abonnements saisonniers. Ces défauts auraient permis de transférer des tickets vers d’autres comptes ou de les désactiver complètement sans autorisation. Les vulnérabilités ont également révélé des détails liés à 538 personnes soumises à des interdictions de stade, des rapports suggérant que ces interdictions auraient pu être modifiées ou supprimées.
Ajax a confirmé la faille en mars et a déclaré que des accès non autorisés avaient eu lieu dans certaines parties de ses systèmes. Le club a indiqué que des experts externes en cybersécurité ont été immédiatement mobilisés pour enquêter sur l’incident, corriger les vulnérabilités et renforcer les protections de sécurité. Ajax a également informé l’Autorité néerlandaise de protection des données et a déposé une plainte à la police.
Le suspect aurait affirmé que ses actions constituaient une divulgation responsable après avoir informé les journalistes des failles de sécurité. Cependant, les autorités néerlandaises soutiennent que ce comportement ne constitue pas un piratage éthique car les systèmes ont été consultés à plusieurs reprises sans autorisation, et les vulnérabilités n’ont pas d’abord été divulguées en privé à Ajax.
Selon les directives néerlandaises de divulgation responsable, les hackers éthiques sont généralement censés signaler directement les vulnérabilités aux organisations concernées sans exploiter les systèmes au-delà de ce qui est nécessaire pour démontrer le problème. Les procureurs affirment qu’Ajax n’a pris conscience de l’ampleur des vulnérabilités qu’après la couverture médiatique.
La police a confisqué des ordinateurs, des disques durs et d’autres dispositifs de stockage numérique lors d’une perquisition au domicile du suspect dans le cadre de l’enquête en cours. Les autorités examinent désormais si des données volées ont été copiées, distribuées ou utilisées au-delà de la simple démonstration des vulnérabilités.
Ajax a déclaré que, sur la base des résultats actuels, seule une quantité limitée de données personnelles avait été confirmée comme ayant été consultées, y compris des adresses e-mail appartenant à plusieurs centaines de personnes ainsi que des noms et dates de naissance liés à moins de 20 personnes ayant des interdictions de stade. Le club a indiqué qu’il n’y a actuellement aucune preuve que les données aient été distribuées davantage.