La police néerlandaise a interpellé le 26 mai un homme de 35 ans soupçonné d’avoir accédé à plusieurs reprises aux systèmes du club de football. Des centaines de milliers de données de supporters auraient été exposées.
Une enquête ouverte dès le début 2026
Les faits remontent aux premiers mois de l’année. Après avoir été alerté par Ajax, le service de recherche a ouvert une enquête qui a permis d’identifier le suspect, domicilié dans la commune de Buren. Suite à l’interpellation, une perquisition a été menée à son domicile : plusieurs supports de stockage ont été saisis et transmis aux enquêteurs pour analyse.
300 000 supporters potentiellement concernés
L’ampleur de l’incident dépasse largement ce qu’Ajax avait initialement reconnu. Selon NL Times, les failles dans l’application du club auraient permis d’accéder aux données personnelles de plus de 300 000 supporters enregistrés, et auraient pu compromettre plus de 42 000 abonnements saisonniers. Le suspect aurait lui-même signalé ces vulnérabilités à des journalistes avant que l’affaire ne soit rendue publique.
API exposées, billetterie vulnérable : une surface d’attaque sous-estimée
NL Times rapporte également que la faiblesse identifiée se situait dans une API du site web, permettant d’accéder aux données via un simple script, sans nécessiter de connexion. Au-delà de l’extraction de données personnelles, les failles auraient aussi ouvert la voie à des manipulations de billetterie : selon le même média, en interceptant et modifiant des paquets de données, un attaquant aurait pu transférer des abonnements saisonniers entre comptes sans le consentement des titulaires.
Les API publiques et les applications mobiles orientées grand public sont souvent moins rigoureusement auditées que le cœur du système d’information, alors qu’elles concentrent des volumes importants de données personnelles et financières. La police néerlandaise a profité de l’annonce pour réaffirmer l’importance du dépôt de plainte formel : les signalements alimentent les enquêtes et contribuent à l’identification d’attaquants au-delà d’un seul incident.
