Une fuite de données attribuée à Kosc Telecom a été revendiquée le 14 juillet 2026. Le dépôt annoncé regrouperait près de 4 000 enregistrements liés à des diagnostics réseau, des commandes, des services fibre, des brouillons et des comptes d’opérateurs.
Les données exposeraient principalement des informations professionnelles et techniques concernant des entreprises clientes, des opérateurs télécoms et des connexions fibre. Le fichier serait proposé au format JSON pour un volume d’environ 4,35 Mo.
À ce stade, il s’agit d’une revendication non confirmée officiellement.

Près de 4 000 objets issus d’une plateforme télécom
Kosc Telecom est un opérateur français de gros spécialisé dans les solutions de connectivité pour les entreprises. Son infrastructure est utilisée par d’autres opérateurs, qui commercialisent ensuite des accès fibre ou DSL auprès de leurs propres clients.
Le dépôt revendiqué ne semble pas correspondre à une simple liste de comptes. Il regrouperait plusieurs catégories de données métier :
- environ 1 800 diagnostics techniques ;
- près de 1 200 commandes ;
- environ 630 services télécoms ;
- 175 commandes enregistrées comme brouillons ;
- 35 comptes utilisateurs ;
- 14 contacts professionnels.
Le total est proche de 4 000 enregistrements, mais ne correspond pas nécessairement à autant d’entreprises ou de personnes uniques. Un même client peut apparaître dans plusieurs commandes, services et diagnostics.
Des diagnostics fibre datés de juillet 2026
Le principal fichier contiendrait des diagnostics techniques réalisés sur des lignes fibre. Certains enregistrements sont datés du début du mois de juillet 2026, ce qui suggère des données particulièrement récentes.
Les informations visibles comprennent notamment :
- identifiant du diagnostic ;
- référence du service ;
- statut de l’opération ;
- date de création et de fin ;
- ville du client final ;
- type de diagnostic ;
- référence du point de terminaison optique ;
- offre fibre associée ;
- présence éventuelle d’un incident ou d’un ticket.
Ces données peuvent révéler le type de connexion installé, l’état d’un service et certaines références utilisées pour identifier les accès au réseau.
Des commandes avec les coordonnées des entreprises clientes
Les fichiers de commandes semblent contenir des informations détaillées sur les entreprises raccordées et les opérations réalisées sur leurs accès télécoms.
Les données potentiellement exposées comprennent :
- nom ou raison sociale de l’entreprise ;
- numéro SIRET ;
- code d’activité NAF ;
- nom et prénom du contact ;
- adresse email professionnelle ;
- numéro de téléphone ;
- référence de commande ;
- référence et identifiant du service ;
- type d’opération ;
- statut de la commande ;
- offre fibre souscrite ;
- débit associé à l’offre ;
- options contractuelles ;
- dates de création, de traitement et de finalisation ;
- motif et date de résiliation dans certains dossiers.
Les exemples montrent notamment des commandes de résiliation comportant le motif de l’opération et la date de fin demandée.
Des références techniques liées aux lignes fibre
Les enregistrements contiennent plusieurs identifiants utilisés dans la gestion des accès télécoms : références de services, identifiants de commandes, UUID internes et références de points de terminaison optique.
Ces informations ne permettent pas nécessairement de prendre le contrôle d’une connexion, mais elles peuvent aider à comprendre l’organisation technique de la plateforme et à préparer des attaques d’ingénierie sociale contre des opérateurs ou des clients.
Des services actifs et résiliés dans la base
Le fichier consacré aux services comprendrait des connexions fibre actives ou anciennes, avec leurs dates d’activation, leurs options et leurs informations de rattachement.
Certains enregistrements associent directement une entreprise cliente à :
- son offre fibre ;
- son opérateur commercial ;
- un contact professionnel ;
- une référence de ligne ;
- une date d’activation ;
- un statut de service ;
- des options de garantie ou d’installation.
La combinaison de ces données peut permettre de cartographier une partie des relations entre Kosc Telecom, les opérateurs partenaires et les entreprises raccordées.
Des comptes d’opérateurs et leurs groupes d’accès
Le dépôt contiendrait également plusieurs dizaines de comptes utilisateurs liés à des opérateurs télécoms. Les informations visibles peuvent comprendre :
- nom complet ;
- adresse email ;
- nom de l’opérateur ;
- identifiant utilisateur ;
- identifiant de l’opérateur ;
- langue du compte ;
- date de création ;
- date de dernière connexion ;
- statut actif ou inactif ;
- groupes et niveaux d’accès associés.
Aucun mot de passe n’est mentionné dans les éléments publiés. La présence des groupes d’autorisation peut toutefois révéler une partie de la gestion des droits au sein de la plateforme.
Comment ces données ont-elles pu être récupérées ?
La méthode utilisée pour accéder aux fichiers n’est pas précisée. Plusieurs scénarios restent possibles : accès non autorisé à une API, compromission d’un compte partenaire, défaut de contrôle d’accès ou extraction depuis une interface métier.
La présence de plusieurs ensembles cohérents et de données datées de juillet 2026 pourrait indiquer un accès récent à une plateforme opérationnelle. Cette hypothèse doit toutefois être confirmée par une analyse technique.
Des risques de phishing contre les entreprises et opérateurs
Les informations exposées peuvent être utilisées pour créer de faux messages très crédibles liés à une commande, une résiliation, un diagnostic ou une intervention fibre.
Les scénarios possibles incluent :
- fausse notification de panne ;
- faux diagnostic de ligne ;
- fausse demande d’intervention ;
- faux changement d’offre ;
- fausse confirmation de résiliation ;
- faux renouvellement de contrat ;
- tentative de récupération d’identifiants ;
- usurpation d’un opérateur télécom.
Une cartographie partielle de clients professionnels
La combinaison du nom d’une entreprise, de son SIRET, de son opérateur, de son offre fibre et de son contact technique ou administratif peut faciliter des attaques ciblées.
Un attaquant pourrait notamment contacter une entreprise en utilisant une véritable référence de service ou de commande pour lui faire croire à une intervention urgente sur sa connexion.
Une revendication à confirmer officiellement
Le nombre exact d’entreprises et de personnes uniques concernées reste inconnu. Les près de 4 000 enregistrements correspondent à plusieurs types d’objets techniques et commerciaux, avec de possibles doublons entre les fichiers.
Si la revendication est authentique, l’incident exposerait des informations récentes sur des commandes, des services fibre, des diagnostics et des contacts professionnels liés à plusieurs opérateurs télécoms français.