Connexion
Abonnez-vous

[MàJ] Fuites de données : les dessous de l’attaque contre des fédérations françaises de sport

Pour une fois c’est pas la faute du stagiaire de 3e !

[MàJ] Fuites de données : les dessous de l’attaque contre des fédérations françaises de sport

Après une année 2024 noire sur les fuites de données, 2025 débute sur les chapeaux de roues avec des données personnelles de licenciés de plusieurs fédérations françaises dans la nature. Un prestataire est pointé du doigt par certains. Nous l’avons identifié et il nous confirme avoir été la cible d’une cyberattaque. Nous avons également contacté le pirate qui nous confirme lui aussi la provenance des données et nous explique son attaque.

Le 27 janvier à 08h21

MàJ du 27 janvier 8 h : La Fédération Française de Roller et Skateboard nous confirme aussi avoir été victime d’une cyberattaque. Plus de 570 000 comptes sont concernés et une plainte a été déposée. Le pirate qui a mis les données en vente nous explique aussi comment il a récupéré les données de la Fédération Française de la Montagne et de l’Escalade.

Actualité originale du 24 janvier à 15h04 : Dans la soirée de mercredi à jeudi, un lecteur nous a signalé un email envoyé par la Fédération Française de Tir à l’Arc avec comme titre : « Information d'incident données personnelles ». La suite, on la devine sans difficulté : il s’agit d’une fuite de données personnelles.

La Fédération Française de Tir à l’Arc prévient ses utilisateurs

Dans le cas présent, les données dérobées par le pirate sont les nom et prénom, sexe, date de naissance, adresse postale, téléphone, e-mail et photo de profil. On apprécie d’ailleurs que la Fédération publie également un communiqué sur son site, reprenant les informations de l’email. Cela permet à tout un chacun d’être informé, mais aussi aux personnes concernées de confirmer qu’il ne s’agit pas d’un faux email.

Mots de passe chiffrés… est-ce suffisant ?

La fédération se veut rassurante : « Nous tenons à vous rassurer sur le fait que les mots de passe liés aux espaces licenciés et dirigeants étaient chiffrés et n’ont pas été compromis. Toutefois, par mesure de précaution, une réinitialisation des accès à ces espaces sera prochainement mise en place ».

Le message ne précise pas exactement de quel chiffrement on parle. Les règles de la CNIL sont claires et le chiffrement seul n’est pas suffisant : « Les mots de passe ne doivent jamais être stockés en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé ».

La Fédération Française de Tir à l’Arc affirme que « l’origine du piratage a été identifiée et verrouillée et le fichier malveillant neutralisé ». Elle a « procédé à une déclaration de cet incident auprès de la CNIL, conformément à la réglementation en vigueur, et au dépôt d’une plainte ».

Une faille chez un prestataire

Mais la Fédération donne surtout une précision importante dans son communiqué : la fuite de données a pour origine un partenaire externe. Elle évoque ainsi « l’exploitation d’une faille de sécurité chez notre prestataire en charge des espaces licences et dirigeants pour le compte de plusieurs fédérations sportives ».

Il reste 64% de l'article à découvrir.

Déjà abonné ? Se connecter

Cadenas en colère - Contenu premium

Soutenez un journalisme indépendant,
libre de ton, sans pub et sans reproche.

Accédez en illimité aux articles

Profitez d'un média expert et unique

Intégrez la communauté et prenez part aux débats

Partagez des articles premium à vos contacts

Abonnez-vous

Commentaires (20)

votre avatar
En même temps, au delà des sites nationaux, les structures locales gèrent les données personnelles en dépit du bon sens, à coup de onedrive, google drive… non protégés et/ou avec des mots de passe super génériques et ce n'est pas faute de leur dire qu'il faut pas faire n'importe quoi.

Ça serait bien que la CNIL fasse un petit rappel à la loi à tout ce beau monde.
votre avatar
T'es gentils, mais tu crois vraiment que la structure locale de tricot de Patelin-sur-Mer à les moyens de faire autrement?
Une asso locale, c'est juste des bénévoles qui veulent partager une activité commune. Pas des juristes/admin système/développeurs.

Pour les principales taches, y a Hello Asso qui dépanne bien, pour tout le reste, c'est Excel et Word.

Et une liste d'adhérent dans un Excel sur le OneDrive du président du club, c'est bien plus safe que Hello Asso, sur lequel il doit y avoir en permanence des gens qui essayent de voler les donnée. Et qui finiront par y arriver.

Coté asso local à base de OneDrive/Gdrive, même en cas de vol de PC des membres du CA, le voleur n'aurait que faire d'une liste d'une quinzaine (et même une centaine, c'est pareil) de nom/prénom/téléphone/e-mail... Ça n'a aucune valeur, donc ça n’intéresse pas les voleurs.
votre avatar
Certaines structures locales gèrent plusieurs centaines de personnes, ont du budget, et t'envoie balader quand tu évoques le RGPD, même en proposant des solutions, juste parce que c'est plus simple d'être sur les outils cloud avec les droits ouverts à tout le monde (réellement "public", sinon c'est pas drôle).

La gestion des comptes des asso est contrôlée, ça serait bien que la gestion des données personnelles le soit aussi.
votre avatar
Je vois 2 options pour qu'une structure locale soit conforme au RGPD.

La moins probable: Augmentation des cotisations de plusieurs centaines d'euros par adhérent pour payer:
- les formations RGPD pour tous les membres du CA et encadrants (il faudrait pas qu'un entraîneur garde sur ton téléphone le fichier excel, envoyé par What'sApp, du groupe de pelote basque du mardi soir, qui contient le nom d'un adhérent qui a demandé à être effacer)
- un audit de conformité annuel
- des licences pour tous les outils et développements/hébergement/maintient en condition opérationnel/support, conforme RGPD, qui seront utilisé pour remplacer le fameux Excel sur OneDrive.
Résultat: passage de la cotisation annuelle de 150€ à 500€ => plus d'adhérent.

La plus probable:
- Fermeture de l'asso. Car des bénévoles, qu'on fait déjà chier de paperasse pour avoir le droit de donner de son temps, responsables du moindre incident au sein de la structure, a qui on supprime toutes les subventions année après année, en ont juste raz le cul de remplacer les missions publiques et n'auront clairement pas que ça à faire d'aller passer encore plus d'heure pour trouver des sponsors pour payer de la compliance RGPD.

Dans les deux cas, le résultat est le même, finito.

RGPD pour des sociétés commerciales qui gagnent de l'argent, pas de soucis. Maintenant, aller emmerder Janine, présidente depuis 35 ans et animatrice, bénévole, sur son temps libre, de l'association de couture sur bois, parce qu'elle a gardée un fichier adhérent_2022.xls sur son PC tout vérolé. C'est peut-être abusé non?

Après, au lieu de d'apprendre la vie à des bénévoles qui donnent déjà beaucoup de leur temps, libre à toi d'aller faire du consultation gratuit pour les associations de ta région pour leur mettre en place tous les outils nécessaires à la compliance RGPD.
votre avatar
Quand on vois la part des fédérations dans le prix des licences et qu'elles ne sont pas capable de gèrer correctement le tout...
Oui c'est un prestataire, mais les fédérations peuvent aussi payer des audits qui j'espère aurait pu démontrer une telle faille.
votre avatar
J'ai pourtant reçu ce mail de la FFME ;

La FFME a été victime, comme d’autres fédérations sportives, d’une attaque informatique avec extraction de données personnelles de ses licenciés et de ses structures. La fédération en a informé la CNIL et a déposé plainte auprès des autorités compétentes.

Cette violation concerne les éléments suivants : nom, prénom, adresse, identifiant, date de naissance, adresse électronique, numéro de téléphone. De ce fait, la FFME recommande la plus grande vigilance sur les risques d’hameçonnage (phishing), de tentatives d’escroqueries ou d’usurpation d’identité et de détournement de ligne téléphonique mobile, et rappelle de ne jamais communiquer votre mot de passe ou vos coordonnées bancaires par téléphone ou par mail.

La faille de sécurité ayant permis cette attaque informatique a été corrigée. Les équipes de la FFME restent mobilisées pour améliorer la sécurité des applications hébergeant les données sensibles.

Nous restons disponibles pour toute question sur le sujet à l’adresse dpo@ffme.fr

La FFME
votre avatar
Ma licence FFME a expiré il y a 4 ans et demi, et la fédé possède toujours mes infos. Ca sert à quoi RGPD en fait ?
votre avatar
En tout cas, c'est conforme à leur politique de confidentialité :
S’agissant des données collectées dans le cadre de l’attribution d’une licence, celles-ci seront conservées durant la validité de la licence puis postérieurement durant le délai de prescription des actions liées à l’obtention de cette licence évalué à 5 ans par la FFME
et cette durée a l'air d'être justifiée.
votre avatar
Arf, je devais pas en être loin alors, j'étais licencié avant covid..
votre avatar
On a reçu un mail de la FFTA alors que la licence doit être expirée depuis plus de 10 ans... Leur charte RGPD indique qu'ils conservent les données des licenciés pendant la "durée de la mission de service publique".

J'avoue que ça m'intrigue, je comprends que potentiellement c'est illimité ce qui me semble assez contradictoire avec les objectifs du RGPD.
votre avatar
Oui, là sans plus justification, ça semble exagéré.
Une petite demande d'explication et de suppression des données au dpo puis plainte à la CNIL si la réponse n'est pas satifaisante me semble utile.
votre avatar
À vérifier, mais il me semble que le délai est de 10 ans sans licence avant suppression.
Sauf si tu as eu des qualifications (exemple : initiateur, moniteur, ...), car comme pour le permis de conduire, si tu perds tes papiers ou justificatifs, il faut pouvoir les refaire.
votre avatar
idem ma licence à + de 10ans et j'ai reçu le mail, bon je ne suis jamais connecté à l'espace licencié non plus. Peut être que nos data sont d'avant RGPD donc pas rétroactif ?
votre avatar
Il n'y a pas de non rétroactivité avec le RGPD.
Les traitements effectués avant la date d'application sont jugés en fonction de la loi informatique et liberté applicable au moment du traitement mais le RGPD s'applique aux données collectées avant qui ont été conservées après la date d'application.

Pour la durée de conservation, le RGPD pas plus que la loi antérieure ne fixe de durée mais le RGPD fixe une règle (article 5 1 e) ). Elles doivent être
conservées sous une forme permettant l'identification des personnes concernées pendant une durée n'excédant pas celle nécessaire au regard des finalités pour lesquelles elles sont traitées;
Cette page de la CNIL donne de bonnes pistes pour se conformer au RGPD sur ce point.

Dans le cadre d'une licence ayant expiré, les données devraient passer en archivage intermédiaire assez vite et n'être accessible qu'en cas de besoin et par des personnes spécifiquement habilitées. Un tel archivage devrait être distinct de celui des licenciés actifs (mais ce n'est pas obligatoire) et n'aurait pas dû être accessible pour le pirate (ce qu'une simple gestion des droits d'accès ne permet pas : un pirate a généralement tous les droits sur une BDD).
votre avatar
Le serveur lisant le php, il avait juste besoin d'upload un fichier contenant un code – par exemple php – et il était automatiquement exécuté côté serveur ».
:eeek2:

Faut les excuser, c'est juste en plein milieu du cours "Concevez votre site web avec PHP et MySQL" d'openclassroom ...
votre avatar
Et ça invalide le sous-titre pour eux ! :D
votre avatar
Magique la faille, du top 3 :

https://owasp.org/www-project-top-ten/

Si il y a déjà ça, probable d'en trouver plein d'autres bien marrantes…
votre avatar
On peut donc parler ici d' "escalade" des privilèges...
votre avatar
« Recherchons stagiaires développement PHP » https://e-licence.fr/offres-de-stage/ :-(
votre avatar
A peu de chose près, c'est ce qu'il y avait dans les pages blanches il y a peu.
Et si l'information "aime le tir à l'arc" est important, suffit d'aller voir les membres du groupe FB de la fédé de tir à l'arc. Je doute que ces leak valent beaucoup d'argent.

[MàJ] Fuites de données : les dessous de l’attaque contre des fédérations françaises de sport

  • La Fédération Française de Tir à l’Arc prévient ses utilisateurs

  • Mots de passe chiffrés… est-ce suffisant ?

  • Une faille chez un prestataire

  • Des données de plusieurs fédérations en vente sur un forum

  • Roller et Skateboard : « plus de 570 000 comptes » touchés

  • Quel peut être ce prestataire ? Next enquête et le trouve

  • Le pirate nous explique ses attaques sur Exalto et la FFME

Fermer