Connexion

Catégories

Droit Économie Flock Hardware IA Internet Logiciel Sciences Sécurité Société

Nous Suivre

Qui sommes nous ? Contact rédaction Contact site Forum
Flux RSS
GitHub Discord

À propos

Abonnez-vous

[MàJ] Fuites de données : les dessous de l’attaque contre des fédérations françaises de sport

Pour une fois c’est pas la faute du stagiaire de 3e !

[MàJ] Fuites de données : les dessous de l’attaque contre des fédérations françaises de sport

Après une année 2024 noire sur les fuites de données, 2025 débute sur les chapeaux de roues avec des données personnelles de licenciés de plusieurs fédérations françaises dans la nature. Un prestataire est pointé du doigt par certains. Nous l’avons identifié et il nous confirme avoir été la cible d’une cyberattaque. Nous avons également contacté le pirate qui nous confirme lui aussi la provenance des données et nous explique son attaque.

Le 27 janvier à 08h21

MàJ du 27 janvier 8 h : La Fédération Française de Roller et Skateboard nous confirme aussi avoir été victime d’une cyberattaque. Plus de 570 000 comptes sont concernés et une plainte a été déposée. Le pirate qui a mis les données en vente nous explique aussi comment il a récupéré les données de la Fédération Française de la Montagne et de l’Escalade.

Actualité originale du 24 janvier à 15h04 : Dans la soirée de mercredi à jeudi, un lecteur nous a signalé un email envoyé par la Fédération Française de Tir à l’Arc avec comme titre : « Information d'incident données personnelles ». La suite, on la devine sans difficulté : il s’agit d’une fuite de données personnelles.

La Fédération Française de Tir à l’Arc prévient ses utilisateurs

Dans le cas présent, les données dérobées par le pirate sont les nom et prénom, sexe, date de naissance, adresse postale, téléphone, e-mail et photo de profil. On apprécie d’ailleurs que la Fédération publie également un communiqué sur son site, reprenant les informations de l’email. Cela permet à tout un chacun d’être informé, mais aussi aux personnes concernées de confirmer qu’il ne s’agit pas d’un faux email.

Mots de passe chiffrés… est-ce suffisant ?

La fédération se veut rassurante : « Nous tenons à vous rassurer sur le fait que les mots de passe liés aux espaces licenciés et dirigeants étaient chiffrés et n’ont pas été compromis. Toutefois, par mesure de précaution, une réinitialisation des accès à ces espaces sera prochainement mise en place ».

Le message ne précise pas exactement de quel chiffrement on parle. Les règles de la CNIL sont claires et le chiffrement seul n’est pas suffisant : « Les mots de passe ne doivent jamais être stockés en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé ».

La Fédération Française de Tir à l’Arc affirme que « l’origine du piratage a été identifiée et verrouillée et le fichier malveillant neutralisé ». Elle a « procédé à une déclaration de cet incident auprès de la CNIL, conformément à la réglementation en vigueur, et au dépôt d’une plainte ».

Une faille chez un prestataire

Mais la Fédération donne surtout une précision importante dans son communiqué : la fuite de données a pour origine un partenaire externe. Elle évoque ainsi « l’exploitation d’une faille de sécurité chez notre prestataire en charge des espaces licences et dirigeants pour le compte de plusieurs fédérations sportives ».

Elle ajoute que son « prestataire a renforcé la sécurité de son système en prenant des mesures techniques immédiates » et qu’un audit de sécurité « sera réalisé par une entreprise externe pour corriger d’éventuelles failles et améliorer les processus de gestion des données du prestataire ».

Des données de plusieurs fédérations en vente sur un forum

En regardant sur les forums spécialisés dans la vente de bases de données dérobées, on retrouve un utilisateur – TheFrenchGuy – qui propose ce qu’il présente comme des données de plus de 600 000 « personnes » de la Fédération Française de Tir à l’Arc. Le compte est nouveau (janvier 2025) et des exemples de données sont donnés dans la publication.

Mais surtout le pirate multiplie les annonces avec la vente des données de près d’une dizaine de fédérations sportives : Fédération Française de Boxe, Fédération Française du Sport Automobile, Fédération Française de Motocyclisme, Fédération Française de Roller & Skateboard, Fédération Sportive et Culturelle de France, Fédération Française de la Montagne et de l’Escalade et Fédération Française de Force. Il y a également des données de deux autres sites : profil-search.fr et Sport-Decouverte.com.

À chaque fois, des données de plusieurs centaines de milliers d’utilisateurs seraient dans la nature, mais impossible en l’état de vérifier le nombre de personnes concernées et la véracité des données. Nous avons contacté toutes les Fédérations concernées, sans aucune réponse pour le moment.

Roller et Skateboard : « plus de 570 000 comptes » touchés

Vendredi matin, aucune d’elle n’avait publié de communiqué comme l’a fait la Fédération Française de Tir à l’Arc, mais des retours sur les réseaux sociaux montrent que des emails ont été envoyés pour prévenir des utilisateurs.

Ce week-end, la Fédération Française de Roller et Skateboard nous a confirmé avoir « été victime d’une cyberattaque ciblant les données personnelles de ses licenciés, début janvier. Cette attaque a concerné plus de 570 000 comptes ». Ce décompte correspond à celui du pirate qui met en vente les données de 577 061 « personnes ».

Là encore, un prestataire est pointé du doigt. « Nous avons, le même jour, notifié cette attaque à la CNIL et déposé une plainte. Nos licenciés et affiliés ont été informés rapidement par courrier électronique ainsi que par une communication sur notre plateforme », nous affirme la Fédération Française de Roller et Skateboard.

Quel peut être ce prestataire ? Next enquête et le trouve

Quoi qu’il en soit, ces annonces vont dans le sens de l’explication de la Fédération Française de Tir à l’Arc sur une faille de sécurité chez un prestataire utilisé par plusieurs fédérations sportives. Le nom du prestataire n’est par contre jamais précisé.

Dans les pages de la quasi-totalité des fédérations de la liste de TheFrenchGuy, on retrouve la mention de la société Exalto. Il y a tout de même une exception notable : la Fédération Française de la Montagne et de l’Escalade.

Exalto se présente comme une société proposant « des solutions d’extranet pour les fédérations sportives », notamment avec son portail Extranet e-licence. « Aujourd’hui, 40 fédérations font confiance à Exalto dans la gestion de leurs licences ou de leurs évènements », affirme l’entreprise.

Nous avons évidemment contacté Exalto afin de savoir si l’entreprise avait un rapport avec ces fuites où si elle avait aussi été victime de cette cyberattaque. Jean-Carl Fossati, président de « E-Licence via Exalto » et vice-président délégué de Fédération Française de Lutte confirme notre intuition.

« L’attaque est survenue via des comptes utilisateurs actifs (Credential). Le service technique a rapidement répondu pour stopper l’attaque et ainsi préserver la grande majorité des clients d’Exalto (45 fédérations clientes) ». Il « s’agit de la première attaque réussie en plus de 20 ans », ajoute-t-il.

Le pirate nous explique ses attaques sur Exalto et la FFME

Nous avons également contacté TheFrenchGuy, qui confirme que les données récupérées (et mises en vente) viennent de chez Exalto, avec quelques différences dans le déroulement des faits : « Il y a eu une erreur de configuration de Exalto (e licence) coté backoffice sur une partie des fédérations (cela n'a pas marché sur toutes les fédérations). Cela a permis d'élever les privilèges d'un utilisateur pour obtenir les droits administrateur puis ensuite trouver des failles de sécurité qui ont permis un accès à la base de données etc ».

Avec sa double casquette, Jean-Carl Fossati, nous précise qu’il n’y a « pas de dommages à la Fédération Française de Lutte ». Il ajoute que la Fédération Française de la Montagne et de l’Escalade (alias FFME) « ne passe pas par E-licence ».

Nous avons posé la question de la provenance des données à TheFrenchGuy, qui nous donne sa version des faits : « Pour la FFME, c'est à peu près du même type qu'Exalto, mais il n'y a pas eu besoin de privilèges. Un utilisateur classique (licencié) pouvait uploader des fichiers de n'importe quel type sans un filtrage côté backoffice (restriction php et autres). Le serveur lisant le php, il avait juste besoin d'upload un fichier contenant un codepar exemple phpet il était automatiquement exécuté côté serveur ».

Commentaires (20)

votre avatar
En même temps, au delà des sites nationaux, les structures locales gèrent les données personnelles en dépit du bon sens, à coup de onedrive, google drive… non protégés et/ou avec des mots de passe super génériques et ce n'est pas faute de leur dire qu'il faut pas faire n'importe quoi.

Ça serait bien que la CNIL fasse un petit rappel à la loi à tout ce beau monde.
votre avatar
T'es gentils, mais tu crois vraiment que la structure locale de tricot de Patelin-sur-Mer à les moyens de faire autrement?
Une asso locale, c'est juste des bénévoles qui veulent partager une activité commune. Pas des juristes/admin système/développeurs.

Pour les principales taches, y a Hello Asso qui dépanne bien, pour tout le reste, c'est Excel et Word.

Et une liste d'adhérent dans un Excel sur le OneDrive du président du club, c'est bien plus safe que Hello Asso, sur lequel il doit y avoir en permanence des gens qui essayent de voler les donnée. Et qui finiront par y arriver.

Coté asso local à base de OneDrive/Gdrive, même en cas de vol de PC des membres du CA, le voleur n'aurait que faire d'une liste d'une quinzaine (et même une centaine, c'est pareil) de nom/prénom/téléphone/e-mail... Ça n'a aucune valeur, donc ça n’intéresse pas les voleurs.
votre avatar
Certaines structures locales gèrent plusieurs centaines de personnes, ont du budget, et t'envoie balader quand tu évoques le RGPD, même en proposant des solutions, juste parce que c'est plus simple d'être sur les outils cloud avec les droits ouverts à tout le monde (réellement "public", sinon c'est pas drôle).

La gestion des comptes des asso est contrôlée, ça serait bien que la gestion des données personnelles le soit aussi.
votre avatar
Je vois 2 options pour qu'une structure locale soit conforme au RGPD.

La moins probable: Augmentation des cotisations de plusieurs centaines d'euros par adhérent pour payer:
- les formations RGPD pour tous les membres du CA et encadrants (il faudrait pas qu'un entraîneur garde sur ton téléphone le fichier excel, envoyé par What'sApp, du groupe de pelote basque du mardi soir, qui contient le nom d'un adhérent qui a demandé à être effacer)
- un audit de conformité annuel
- des licences pour tous les outils et développements/hébergement/maintient en condition opérationnel/support, conforme RGPD, qui seront utilisé pour remplacer le fameux Excel sur OneDrive.
Résultat: passage de la cotisation annuelle de 150€ à 500€ => plus d'adhérent.

La plus probable:
- Fermeture de l'asso. Car des bénévoles, qu'on fait déjà chier de paperasse pour avoir le droit de donner de son temps, responsables du moindre incident au sein de la structure, a qui on supprime toutes les subventions année après année, en ont juste raz le cul de remplacer les missions publiques et n'auront clairement pas que ça à faire d'aller passer encore plus d'heure pour trouver des sponsors pour payer de la compliance RGPD.

Dans les deux cas, le résultat est le même, finito.

RGPD pour des sociétés commerciales qui gagnent de l'argent, pas de soucis. Maintenant, aller emmerder Janine, présidente depuis 35 ans et animatrice, bénévole, sur son temps libre, de l'association de couture sur bois, parce qu'elle a gardée un fichier adhérent_2022.xls sur son PC tout vérolé. C'est peut-être abusé non?

Après, au lieu de d'apprendre la vie à des bénévoles qui donnent déjà beaucoup de leur temps, libre à toi d'aller faire du consultation gratuit pour les associations de ta région pour leur mettre en place tous les outils nécessaires à la compliance RGPD.
votre avatar
Quand on vois la part des fédérations dans le prix des licences et qu'elles ne sont pas capable de gèrer correctement le tout...
Oui c'est un prestataire, mais les fédérations peuvent aussi payer des audits qui j'espère aurait pu démontrer une telle faille.
votre avatar
J'ai pourtant reçu ce mail de la FFME ;

La FFME a été victime, comme d’autres fédérations sportives, d’une attaque informatique avec extraction de données personnelles de ses licenciés et de ses structures. La fédération en a informé la CNIL et a déposé plainte auprès des autorités compétentes.

Cette violation concerne les éléments suivants : nom, prénom, adresse, identifiant, date de naissance, adresse électronique, numéro de téléphone. De ce fait, la FFME recommande la plus grande vigilance sur les risques d’hameçonnage (phishing), de tentatives d’escroqueries ou d’usurpation d’identité et de détournement de ligne téléphonique mobile, et rappelle de ne jamais communiquer votre mot de passe ou vos coordonnées bancaires par téléphone ou par mail.

La faille de sécurité ayant permis cette attaque informatique a été corrigée. Les équipes de la FFME restent mobilisées pour améliorer la sécurité des applications hébergeant les données sensibles.

Nous restons disponibles pour toute question sur le sujet à l’adresse dpo@ffme.fr

La FFME
votre avatar
Ma licence FFME a expiré il y a 4 ans et demi, et la fédé possède toujours mes infos. Ca sert à quoi RGPD en fait ?
votre avatar
En tout cas, c'est conforme à leur politique de confidentialité :
S’agissant des données collectées dans le cadre de l’attribution d’une licence, celles-ci seront conservées durant la validité de la licence puis postérieurement durant le délai de prescription des actions liées à l’obtention de cette licence évalué à 5 ans par la FFME
et cette durée a l'air d'être justifiée.
votre avatar
Arf, je devais pas en être loin alors, j'étais licencié avant covid..
votre avatar
On a reçu un mail de la FFTA alors que la licence doit être expirée depuis plus de 10 ans... Leur charte RGPD indique qu'ils conservent les données des licenciés pendant la "durée de la mission de service publique".

J'avoue que ça m'intrigue, je comprends que potentiellement c'est illimité ce qui me semble assez contradictoire avec les objectifs du RGPD.
votre avatar
Oui, là sans plus justification, ça semble exagéré.
Une petite demande d'explication et de suppression des données au dpo puis plainte à la CNIL si la réponse n'est pas satifaisante me semble utile.
votre avatar
À vérifier, mais il me semble que le délai est de 10 ans sans licence avant suppression.
Sauf si tu as eu des qualifications (exemple : initiateur, moniteur, ...), car comme pour le permis de conduire, si tu perds tes papiers ou justificatifs, il faut pouvoir les refaire.
votre avatar
idem ma licence à + de 10ans et j'ai reçu le mail, bon je ne suis jamais connecté à l'espace licencié non plus. Peut être que nos data sont d'avant RGPD donc pas rétroactif ?
votre avatar
Il n'y a pas de non rétroactivité avec le RGPD.
Les traitements effectués avant la date d'application sont jugés en fonction de la loi informatique et liberté applicable au moment du traitement mais le RGPD s'applique aux données collectées avant qui ont été conservées après la date d'application.

Pour la durée de conservation, le RGPD pas plus que la loi antérieure ne fixe de durée mais le RGPD fixe une règle (article 5 1 e) ). Elles doivent être
conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées;
Cette page de la CNIL donne de bonnes pistes pour se conformer au RGPD sur ce point.

Dans le cadre d'une licence ayant expiré, les données devraient passer en archivage intermédiaire assez vite et n'être accessible qu'en cas de besoin et par des personnes spécifiquement habilitées. Un tel archivage devrait être distinct de celui des licenciés actifs (mais ce n'est pas obligatoire) et n'aurait pas dû être accessible pour le pirate (ce qu'une simple gestion des droits d'accès ne permet pas : un pirate a généralement tous les droits sur une BDD).
votre avatar
Le serveur lisant le php, il avait juste besoin d'upload un fichier contenant un code – par exemple php – et il était automatiquement exécuté côté serveur ».
:eeek2:

Faut les excuser, c'est juste en plein milieu du cours "Concevez votre site web avec PHP et MySQL" d'openclassroom ...
votre avatar
Et ça invalide le sous-titre pour eux ! :D
votre avatar
Magique la faille, du top 3 :

https://owasp.org/www-project-top-ten/

Si il y a déjà ça, probable d'en trouver plein d'autres bien marrantes…
votre avatar
On peut donc parler ici d' "escalade" des privilèges...
votre avatar
« Recherchons stagiaires développement PHP » https://e-licence.fr/offres-de-stage/ :-(
votre avatar
A peu de chose près, c'est ce qu'il y avait dans les pages blanches il y a peu.
Et si l'information "aime le tir à l'arc" est important, suffit d'aller voir les membres du groupe FB de la fédé de tir à l'arc. Je doute que ces leak valent beaucoup d'argent.

[MàJ] Fuites de données : les dessous de l’attaque contre des fédérations françaises de sport

  • La Fédération Française de Tir à l’Arc prévient ses utilisateurs

  • Mots de passe chiffrés… est-ce suffisant ?

  • Une faille chez un prestataire

  • Des données de plusieurs fédérations en vente sur un forum

  • Roller et Skateboard : « plus de 570 000 comptes » touchés

  • Quel peut être ce prestataire ? Next enquête et le trouve

  • Le pirate nous explique ses attaques sur Exalto et la FFME

Fermer