[MàJ] Fuites de données : les dessous de l’attaque contre des fédérations françaises de sport

Pour une fois c’est pas la faute du stagiaire de 3e !

[MàJ] Fuites de données : les dessous de l’attaque contre des fédérations françaises de sport

Après une année 2024 noire sur les fuites de données, 2025 débute sur les chapeaux de roues avec des données personnelles de licenciés de plusieurs fédérations françaises dans la nature. Un prestataire est pointé du doigt par certains. Nous l’avons identifié et il nous confirme avoir été la cible d’une cyberattaque. Nous avons également contacté le pirate qui nous confirme lui aussi la provenance des données et nous explique son attaque.

Le 27 janvier 2025 à 08h21

Commentaires (20)

votre avatar
En même temps, au delà des sites nationaux, les structures locales gèrent les données personnelles en dépit du bon sens, à coup de onedrive, google drive… non protégés et/ou avec des mots de passe super génériques et ce n'est pas faute de leur dire qu'il faut pas faire n'importe quoi.

Ça serait bien que la CNIL fasse un petit rappel à la loi à tout ce beau monde.
votre avatar
T'es gentils, mais tu crois vraiment que la structure locale de tricot de Patelin-sur-Mer à les moyens de faire autrement?
Une asso locale, c'est juste des bénévoles qui veulent partager une activité commune. Pas des juristes/admin système/développeurs.

Pour les principales taches, y a Hello Asso qui dépanne bien, pour tout le reste, c'est Excel et Word.

Et une liste d'adhérent dans un Excel sur le OneDrive du président du club, c'est bien plus safe que Hello Asso, sur lequel il doit y avoir en permanence des gens qui essayent de voler les donnée. Et qui finiront par y arriver.

Coté asso local à base de OneDrive/Gdrive, même en cas de vol de PC des membres du CA, le voleur n'aurait que faire d'une liste d'une quinzaine (et même une centaine, c'est pareil) de nom/prénom/téléphone/e-mail... Ça n'a aucune valeur, donc ça n’intéresse pas les voleurs.
votre avatar
Certaines structures locales gèrent plusieurs centaines de personnes, ont du budget, et t'envoie balader quand tu évoques le RGPD, même en proposant des solutions, juste parce que c'est plus simple d'être sur les outils cloud avec les droits ouverts à tout le monde (réellement "public", sinon c'est pas drôle).

La gestion des comptes des asso est contrôlée, ça serait bien que la gestion des données personnelles le soit aussi.
votre avatar
Je vois 2 options pour qu'une structure locale soit conforme au RGPD.

La moins probable: Augmentation des cotisations de plusieurs centaines d'euros par adhérent pour payer:
- les formations RGPD pour tous les membres du CA et encadrants (il faudrait pas qu'un entraîneur garde sur ton téléphone le fichier excel, envoyé par What'sApp, du groupe de pelote basque du mardi soir, qui contient le nom d'un adhérent qui a demandé à être effacer)
- un audit de conformité annuel
- des licences pour tous les outils et développements/hébergement/maintient en condition opérationnel/support, conforme RGPD, qui seront utilisé pour remplacer le fameux Excel sur OneDrive.
Résultat: passage de la cotisation annuelle de 150€ à 500€ => plus d'adhérent.

La plus probable:
- Fermeture de l'asso. Car des bénévoles, qu'on fait déjà chier de paperasse pour avoir le droit de donner de son temps, responsables du moindre incident au sein de la structure, a qui on supprime toutes les subventions année après année, en ont juste raz le cul de remplacer les missions publiques et n'auront clairement pas que ça à faire d'aller passer encore plus d'heure pour trouver des sponsors pour payer de la compliance RGPD.

Dans les deux cas, le résultat est le même, finito.

RGPD pour des sociétés commerciales qui gagnent de l'argent, pas de soucis. Maintenant, aller emmerder Janine, présidente depuis 35 ans et animatrice, bénévole, sur son temps libre, de l'association de couture sur bois, parce qu'elle a gardée un fichier adhérent_2022.xls sur son PC tout vérolé. C'est peut-être abusé non?

Après, au lieu de d'apprendre la vie à des bénévoles qui donnent déjà beaucoup de leur temps, libre à toi d'aller faire du consultation gratuit pour les associations de ta région pour leur mettre en place tous les outils nécessaires à la compliance RGPD.
votre avatar
Quand on vois la part des fédérations dans le prix des licences et qu'elles ne sont pas capable de gèrer correctement le tout...
Oui c'est un prestataire, mais les fédérations peuvent aussi payer des audits qui j'espère aurait pu démontrer une telle faille.
votre avatar
J'ai pourtant reçu ce mail de la FFME ;

La FFME a été victime, comme d’autres fédérations sportives, d’une attaque informatique avec extraction de données personnelles de ses licenciés et de ses structures. La fédération en a informé la CNIL et a déposé plainte auprès des autorités compétentes.

Cette violation concerne les éléments suivants : nom, prénom, adresse, identifiant, date de naissance, adresse électronique, numéro de téléphone. De ce fait, la FFME recommande la plus grande vigilance sur les risques d’hameçonnage (phishing), de tentatives d’escroqueries ou d’usurpation d’identité et de détournement de ligne téléphonique mobile, et rappelle de ne jamais communiquer votre mot de passe ou vos coordonnées bancaires par téléphone ou par mail.

La faille de sécurité ayant permis cette attaque informatique a été corrigée. Les équipes de la FFME restent mobilisées pour améliorer la sécurité des applications hébergeant les données sensibles.

Nous restons disponibles pour toute question sur le sujet à l’adresse dpo@ffme.fr

La FFME
votre avatar
Ma licence FFME a expiré il y a 4 ans et demi, et la fédé possède toujours mes infos. Ca sert à quoi RGPD en fait ?
votre avatar
En tout cas, c'est conforme à leur politique de confidentialité :
S’agissant des données collectées dans le cadre de l’attribution d’une licence, celles-ci seront conservées durant la validité de la licence puis postérieurement durant le délai de prescription des actions liées à l’obtention de cette licence évalué à 5 ans par la FFME
et cette durée a l'air d'être justifiée.
votre avatar
Arf, je devais pas en être loin alors, j'étais licencié avant covid..
votre avatar
On a reçu un mail de la FFTA alors que la licence doit être expirée depuis plus de 10 ans... Leur charte RGPD indique qu'ils conservent les données des licenciés pendant la "durée de la mission de service publique".

J'avoue que ça m'intrigue, je comprends que potentiellement c'est illimité ce qui me semble assez contradictoire avec les objectifs du RGPD.
votre avatar
Oui, là sans plus justification, ça semble exagéré.
Une petite demande d'explication et de suppression des données au dpo puis plainte à la CNIL si la réponse n'est pas satifaisante me semble utile.
votre avatar
À vérifier, mais il me semble que le délai est de 10 ans sans licence avant suppression.
Sauf si tu as eu des qualifications (exemple : initiateur, moniteur, ...), car comme pour le permis de conduire, si tu perds tes papiers ou justificatifs, il faut pouvoir les refaire.
votre avatar
idem ma licence à + de 10ans et j'ai reçu le mail, bon je ne suis jamais connecté à l'espace licencié non plus. Peut être que nos data sont d'avant RGPD donc pas rétroactif ?
votre avatar
Il n'y a pas de non rétroactivité avec le RGPD.
Les traitements effectués avant la date d'application sont jugés en fonction de la loi informatique et liberté applicable au moment du traitement mais le RGPD s'applique aux données collectées avant qui ont été conservées après la date d'application.

Pour la durée de conservation, le RGPD pas plus que la loi antérieure ne fixe de durée mais le RGPD fixe une règle (article 5 1 e) ). Elles doivent être
conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées;
Cette page de la CNIL donne de bonnes pistes pour se conformer au RGPD sur ce point.

Dans le cadre d'une licence ayant expiré, les données devraient passer en archivage intermédiaire assez vite et n'être accessible qu'en cas de besoin et par des personnes spécifiquement habilitées. Un tel archivage devrait être distinct de celui des licenciés actifs (mais ce n'est pas obligatoire) et n'aurait pas dû être accessible pour le pirate (ce qu'une simple gestion des droits d'accès ne permet pas : un pirate a généralement tous les droits sur une BDD).
votre avatar
Le serveur lisant le php, il avait juste besoin d'upload un fichier contenant un code – par exemple php – et il était automatiquement exécuté côté serveur ».
:eeek2:

Faut les excuser, c'est juste en plein milieu du cours "Concevez votre site web avec PHP et MySQL" d'openclassroom ...
votre avatar
Et ça invalide le sous-titre pour eux ! :D
votre avatar
Magique la faille, du top 3 :

https://owasp.org/www-project-top-ten/

Si il y a déjà ça, probable d'en trouver plein d'autres bien marrantes…
votre avatar
On peut donc parler ici d' "escalade" des privilèges...
votre avatar
« Recherchons stagiaires développement PHP » https://e-licence.fr/offres-de-stage/ :-(
votre avatar
A peu de chose près, c'est ce qu'il y avait dans les pages blanches il y a peu.
Et si l'information "aime le tir à l'arc" est important, suffit d'aller voir les membres du groupe FB de la fédé de tir à l'arc. Je doute que ces leak valent beaucoup d'argent.

[MàJ] Fuites de données : les dessous de l’attaque contre des fédérations françaises de sport

  • La Fédération Française de Tir à l’Arc prévient ses utilisateurs

  • Mots de passe chiffrés… est-ce suffisant ?

  • Une faille chez un prestataire

  • Des données de plusieurs fédérations en vente sur un forum

  • Roller et Skateboard : « plus de 570 000 comptes » touchés

  • Quel peut être ce prestataire ? Next enquête et le trouve

  • Le pirate nous explique ses attaques sur Exalto et la FFME

Fermer