[MàJ] Fuites de données : les dessous de l’attaque contre des fédérations françaises de sport
Pour une fois c’est pas la faute du stagiaire de 3e !
![[MàJ] Fuites de données : les dessous de l’attaque contre des fédérations françaises de sport [MàJ] Fuites de données : les dessous de l’attaque contre des fédérations françaises de sport](https://next.ink/wp-content/uploads/2024/11/Piratage-data.webp)
Après une année 2024 noire sur les fuites de données, 2025 débute sur les chapeaux de roues avec des données personnelles de licenciés de plusieurs fédérations françaises dans la nature. Un prestataire est pointé du doigt par certains. Nous l’avons identifié et il nous confirme avoir été la cible d’une cyberattaque. Nous avons également contacté le pirate qui nous confirme lui aussi la provenance des données et nous explique son attaque.
Le 27 janvier à 08h21
8 min
Sécurité
Sécurité
MàJ du 27 janvier 8 h : La Fédération Française de Roller et Skateboard nous confirme aussi avoir été victime d’une cyberattaque. Plus de 570 000 comptes sont concernés et une plainte a été déposée. Le pirate qui a mis les données en vente nous explique aussi comment il a récupéré les données de la Fédération Française de la Montagne et de l’Escalade.
Actualité originale du 24 janvier à 15h04 : Dans la soirée de mercredi à jeudi, un lecteur nous a signalé un email envoyé par la Fédération Française de Tir à l’Arc avec comme titre : « Information d'incident données personnelles ». La suite, on la devine sans difficulté : il s’agit d’une fuite de données personnelles.
La Fédération Française de Tir à l’Arc prévient ses utilisateurs
Dans le cas présent, les données dérobées par le pirate sont les nom et prénom, sexe, date de naissance, adresse postale, téléphone, e-mail et photo de profil. On apprécie d’ailleurs que la Fédération publie également un communiqué sur son site, reprenant les informations de l’email. Cela permet à tout un chacun d’être informé, mais aussi aux personnes concernées de confirmer qu’il ne s’agit pas d’un faux email.

Mots de passe chiffrés… est-ce suffisant ?
La fédération se veut rassurante : « Nous tenons à vous rassurer sur le fait que les mots de passe liés aux espaces licenciés et dirigeants étaient chiffrés et n’ont pas été compromis. Toutefois, par mesure de précaution, une réinitialisation des accès à ces espaces sera prochainement mise en place ».
Le message ne précise pas exactement de quel chiffrement on parle. Les règles de la CNIL sont claires et le chiffrement seul n’est pas suffisant : « Les mots de passe ne doivent jamais être stockés en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé ».
La Fédération Française de Tir à l’Arc affirme que « l’origine du piratage a été identifiée et verrouillée et le fichier malveillant neutralisé ». Elle a « procédé à une déclaration de cet incident auprès de la CNIL, conformément à la réglementation en vigueur, et au dépôt d’une plainte ».
Une faille chez un prestataire
Mais la Fédération donne surtout une précision importante dans son communiqué : la fuite de données a pour origine un partenaire externe. Elle évoque ainsi « l’exploitation d’une faille de sécurité chez notre prestataire en charge des espaces licences et dirigeants pour le compte de plusieurs fédérations sportives ».
Il reste 64% de l'article à découvrir.
Déjà abonné ? Se connecter

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.
Accédez en illimité aux articles
Profitez d'un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vous[MàJ] Fuites de données : les dessous de l’attaque contre des fédérations françaises de sport
-
La Fédération Française de Tir à l’Arc prévient ses utilisateurs
-
Mots de passe chiffrés… est-ce suffisant ?
-
Une faille chez un prestataire
-
Des données de plusieurs fédérations en vente sur un forum
-
Roller et Skateboard : « plus de 570 000 comptes » touchés
-
Quel peut être ce prestataire ? Next enquête et le trouve
-
Le pirate nous explique ses attaques sur Exalto et la FFME
Commentaires (20)
Modifié le 24/01/2025 à 15h46
Ça serait bien que la CNIL fasse un petit rappel à la loi à tout ce beau monde.
Le 27/01/2025 à 16h04
Une asso locale, c'est juste des bénévoles qui veulent partager une activité commune. Pas des juristes/admin système/développeurs.
Pour les principales taches, y a Hello Asso qui dépanne bien, pour tout le reste, c'est Excel et Word.
Et une liste d'adhérent dans un Excel sur le OneDrive du président du club, c'est bien plus safe que Hello Asso, sur lequel il doit y avoir en permanence des gens qui essayent de voler les donnée. Et qui finiront par y arriver.
Coté asso local à base de OneDrive/Gdrive, même en cas de vol de PC des membres du CA, le voleur n'aurait que faire d'une liste d'une quinzaine (et même une centaine, c'est pareil) de nom/prénom/téléphone/e-mail... Ça n'a aucune valeur, donc ça n’intéresse pas les voleurs.
Le 27/01/2025 à 16h21
La gestion des comptes des asso est contrôlée, ça serait bien que la gestion des données personnelles le soit aussi.
Le 27/01/2025 à 17h57
La moins probable: Augmentation des cotisations de plusieurs centaines d'euros par adhérent pour payer:
- les formations RGPD pour tous les membres du CA et encadrants (il faudrait pas qu'un entraîneur garde sur ton téléphone le fichier excel, envoyé par What'sApp, du groupe de pelote basque du mardi soir, qui contient le nom d'un adhérent qui a demandé à être effacer)
- un audit de conformité annuel
- des licences pour tous les outils et développements/hébergement/maintient en condition opérationnel/support, conforme RGPD, qui seront utilisé pour remplacer le fameux Excel sur OneDrive.
Résultat: passage de la cotisation annuelle de 150€ à 500€ => plus d'adhérent.
La plus probable:
- Fermeture de l'asso. Car des bénévoles, qu'on fait déjà chier de paperasse pour avoir le droit de donner de son temps, responsables du moindre incident au sein de la structure, a qui on supprime toutes les subventions année après année, en ont juste raz le cul de remplacer les missions publiques et n'auront clairement pas que ça à faire d'aller passer encore plus d'heure pour trouver des sponsors pour payer de la compliance RGPD.
Dans les deux cas, le résultat est le même, finito.
RGPD pour des sociétés commerciales qui gagnent de l'argent, pas de soucis. Maintenant, aller emmerder Janine, présidente depuis 35 ans et animatrice, bénévole, sur son temps libre, de l'association de couture sur bois, parce qu'elle a gardée un fichier adhérent_2022.xls sur son PC tout vérolé. C'est peut-être abusé non?
Après, au lieu de d'apprendre la vie à des bénévoles qui donnent déjà beaucoup de leur temps, libre à toi d'aller faire du consultation gratuit pour les associations de ta région pour leur mettre en place tous les outils nécessaires à la compliance RGPD.
Le 24/01/2025 à 16h33
Oui c'est un prestataire, mais les fédérations peuvent aussi payer des audits qui j'espère aurait pu démontrer une telle faille.
Le 24/01/2025 à 18h24
La FFME a été victime, comme d’autres fédérations sportives, d’une attaque informatique avec extraction de données personnelles de ses licenciés et de ses structures. La fédération en a informé la CNIL et a déposé plainte auprès des autorités compétentes.
Cette violation concerne les éléments suivants : nom, prénom, adresse, identifiant, date de naissance, adresse électronique, numéro de téléphone. De ce fait, la FFME recommande la plus grande vigilance sur les risques d’hameçonnage (phishing), de tentatives d’escroqueries ou d’usurpation d’identité et de détournement de ligne téléphonique mobile, et rappelle de ne jamais communiquer votre mot de passe ou vos coordonnées bancaires par téléphone ou par mail.
La faille de sécurité ayant permis cette attaque informatique a été corrigée. Les équipes de la FFME restent mobilisées pour améliorer la sécurité des applications hébergeant les données sensibles.
Nous restons disponibles pour toute question sur le sujet à l’adresse dpo@ffme.fr
La FFME
Le 24/01/2025 à 20h09
Le 24/01/2025 à 20h17
Le 25/01/2025 à 17h12
Le 24/01/2025 à 21h53
J'avoue que ça m'intrigue, je comprends que potentiellement c'est illimité ce qui me semble assez contradictoire avec les objectifs du RGPD.
Le 25/01/2025 à 00h38
Une petite demande d'explication et de suppression des données au dpo puis plainte à la CNIL si la réponse n'est pas satifaisante me semble utile.
Le 25/01/2025 à 11h16
Sauf si tu as eu des qualifications (exemple : initiateur, moniteur, ...), car comme pour le permis de conduire, si tu perds tes papiers ou justificatifs, il faut pouvoir les refaire.
Le 26/01/2025 à 11h49
Le 26/01/2025 à 12h20
Les traitements effectués avant la date d'application sont jugés en fonction de la loi informatique et liberté applicable au moment du traitement mais le RGPD s'applique aux données collectées avant qui ont été conservées après la date d'application.
Pour la durée de conservation, le RGPD pas plus que la loi antérieure ne fixe de durée mais le RGPD fixe une règle (article 5 1 e) ). Elles doivent être Cette page de la CNIL donne de bonnes pistes pour se conformer au RGPD sur ce point.
Dans le cadre d'une licence ayant expiré, les données devraient passer en archivage intermédiaire assez vite et n'être accessible qu'en cas de besoin et par des personnes spécifiquement habilitées. Un tel archivage devrait être distinct de celui des licenciés actifs (mais ce n'est pas obligatoire) et n'aurait pas dû être accessible pour le pirate (ce qu'une simple gestion des droits d'accès ne permet pas : un pirate a généralement tous les droits sur une BDD).
Le 27/01/2025 à 09h06
Faut les excuser, c'est juste en plein milieu du cours "Concevez votre site web avec PHP et MySQL" d'openclassroom ...
Le 27/01/2025 à 09h45
Modifié le 27/01/2025 à 10h07
https://owasp.org/www-project-top-ten/
Si il y a déjà ça, probable d'en trouver plein d'autres bien marrantes…
Le 27/01/2025 à 11h57
Le 27/01/2025 à 13h05
Le 27/01/2025 à 16h07
Et si l'information "aime le tir à l'arc" est important, suffit d'aller voir les membres du groupe FB de la fédé de tir à l'arc. Je doute que ces leak valent beaucoup d'argent.