Boxe, tir à l'arc, escalade... Les données de plusieurs fédérations sportives françaises piratées

Une nouvelle vague de cyberattaques vient compromettre la sécurité des informations personnelles des Français. Plusieurs fédérations sportives du pays ont indiqué ces derniers jours avoir subi une violation des données de leurs licenciés et de leurs personnels. L'ampleur de ces incidents reste à déterminer, mais les fuites pourraient être massives.

Jeudi 23 janvier, le chercheur en cybersécurité Clément Domingo a rapporté sur son compte sur le réseau social X que la Fédération française de tir à l'arc et la Fédération française de la montagne et de l'escalade avaient prévenu leurs adhérents qu'elles avaient été victimes d'une faille de sécurité ayant exposé leurs données personnelles. 

Quelques heures plus tard, l'expert a fait savoir qu'un pirate avait mis en vente plusieurs bases de données appartenant à huit fédérations sportives du pays sur un célèbre forum cybercriminel. Le hackeur prétend avoir réussi à exfiltrer les données de 4,5 millions de Français en exploitant une vulnérabilité chez un prestataire chargé de gérer les espaces en ligne des licences et des dirigeants de plusieurs instances.

La liste des fédérations sportives concernées comprend la Fédération française de boxe, la Fédération française de sport automobile, la Fédération française de motocyclisme, la Fédération française de roller et skateboard, la Fédération française de tir à l'arc, la Fédération française de la montagne et de l'escalade, la Fédération sportive et culturelle de France et la Fédération française de force. La plus touchée serait la Fédération sportive et culturelle de France, avec 1,3 million de données en vente, devant les fédérations d'escalade (808.000), de tir à l'arc (625.000), de boxe (620.000) et de roller et skateboard (577.000). Ces chiffres sont évidemment à prendre avec des pincettes tant que ces instances n'ont pas confirmé l'authenticité des fichiers.

Les fédérations de boxe, tir à l’arc, escalade et roller confirment l’incident

Plusieurs d’entre elles n’ont pas tardé à le faire. Sollicitées par RTL, les fédérations de boxe (FFB) et de tir à l'arc (FFTA) ont confirmé avoir été visées par une attaque informatique récemment. La FFTA dit avoir été informée en début de semaine par son prestataire d'un incident de sécurité concernant les données personnelles de ses licenciés. La FFTA confirme le chiffre avancé par le pirate, à savoir qu'environ 626.000 licenciés et dirigeants de clubs affiliés à la fédération de tir à l'arc sont concernés. La FFTA revendiquait près de 77.000 licenciés pour la saison 2024-2025. Cela laisse penser que le pirate aurait également exfiltré des informations relatives à d'anciens adhérents de l'organisation.

Les données compromises comprennent les éléments relatifs à l'identité, l'adresse, la date de naissance, le mail, le téléphone et la photo de profil. La FFTA assure que l'incident a été rapidement résolu et que le fichier malveillant utilisé a été désactivé. Les victimes ont été contactées par mail. L'incident a été notifié aux autorités et une plainte a été déposée auprès du procureur.

La Fédération française de boxe confirme également qu'un incident de sécurité a récemment affecté son système de gestion des licences. "Une personne malveillante a usurpé un compte existant pour accéder à e-licence, ce qui a généré une violation de données à caractère non sensible", indique l'instance à RTL. La FFB se montre en revanche plus prudente sur le nombre d'adhérents exposés dans l'incident. 

Alors que le pirate prétend avoir en sa possession les informations de plus de 620.000 personnes liées à la fédération, cette dernière assure que cette estimation ne reflète pas la réalité et que les comptes concernés sont bien plus limités. Des analyses sont encore en cours pour déterminer l'étendue exacte de l'incident. Une déclaration a été effectuée aux autorités et une plainte déposée. Une communication a été réalisée auprès des licenciés pour leur rappeler les bonnes mesures de protection numérique.

En fin de journée vendredi, la Fédération de roller et skateboard a elle aussi reconnu une cyberattaque qui a ciblé les données personnelles de 570.000 comptes de licenciés et affiliés début janvier. Les concernés ont été informés par mail. 

Vers une recrudescence de phishing et de tentatives d'arnaques

Par ailleurs, la Fédération française de montagne et de l'escalade a également réalisé une communication à l'endroit de ses licenciés pour évoquer un incident de sécurité récent. D'après le site 01Net, l'instance a prévenu 120.000 adhérents d'un vol de leurs noms, prénoms, dates de naissance, mails, adresses postales, identifiants et numéros de téléphones. Un nombre très inférieur aux estimations données par le pirate. L'organisme précise que d'autres fédérations ont subi des attaques informatiques similaires avec exfiltration de leurs données. Les autres instances évoquées par le pirate n'avaient pas encore donné suite aux sollicitations de RTL à l'heure où était publié cet article. Leurs adhérents peuvent prendre contact avec elles pour obtenir plus d'informations.

Ces nouvelles violations de données exposent les victimes à des risques de phishing et à des tentatives d'escroqueries dans les prochaines semaines. Les personnes concernées sont incitées à redoubler de vigilance face aux sollicitations et à ne jamais communiquer d'informations personnelles ou bancaires à des tiers par mail ou par téléphone.

L’actualité par la rédaction de RTL dans votre boîte mail.

Grâce à votre compte RTL abonnez-vous à la newsletter RTL info pour suivre toute l'actualité au quotidien

Je créé mon compte Se connecter

S’abonner à la Newsletter RTL Info