Tennis, spéléologie : nouvelles fuites de données chez les fédérations sportives

La Fédération française de tennis a alerté, lundi par mail, certains de ses adhérents au sujet d'un « acte de cyber-malveillance ayant affecté une plateforme utilisée par les clubs ». Reprise dans un communiqué publié sur son site, cette intrusion a conduit à l'exposition de certaines informations personnelles des licenciés.

1,2 million de licenciés à la FFT

Dans le lot figurent « notamment le nom, le prénom, les coordonnées (adresse e-mail, adresse postale, numéro de téléphone) ainsi que, le cas échéant, des informations relatives à la licence », indique la FFT.

Elle prend soin de préciser qu'aucune donnée bancaire ni aucun mot de passe n'ont été compromis, un message rassurant qui ne doit cependant pas occulter les risques d'usurpation d'identité ou les tentatives de phishing rendus possibles par la combinaison des informations personnelles divulguées.

« Dès la détection de cet incident, la FFT a immédiatement mis en œuvre les mesures nécessaires afin de sécuriser la plateforme, notamment par le blocage des accès concernés et le lancement d’investigations techniques approfondies », promet la fédération, qui prodigue dans la foulée les habituels conseils de vigilance en cas de prise de contact suspecte, que ce soit par mail, par SMS ou par téléphone...

La FFT, qui se félicitait en juillet dernier d'avoir franchi la barre des 1,2 million de licenciés, ne précise pas combien de comptes individuels ont pu être exposés. Elle s'abstient également de communiquer le nom du « portail » incriminé dans la fuite ou la raison sociale de son éditeur.

Nouvelle vague d'intrusions et de fuites

Le phénomène n'épargne pas les disciplines plus confidentielles. La Fédération française de spéléologie (environ 7 500 licenciés en 2020 d'après Wikipédia) a par exemple subi coup sur coup deux attaques. La première, signalée le 31 décembre dernier, a entraîné la coupure, pendant quelques jours, du portail utilisé pour la souscription d'assurances dédiées aux initiations. Les données exposées comprenaient identité, coordonnées, informations fédérales et métier renseigné par l'utilisateur.

Quelques jours plus tard, nouvel incident, enregistré cette fois au niveau du portail dédié à la gestion des adhésions en ligne de la fédération. « Cette attaque a entraîné un accès non autorisé à une partie de vos données personnelles associées à votre compte : nom, prénom, date de naissance, métier, nationalité, adresse e-mail, numéro de téléphone, adresse postale, numéro de licence et abonnement aux revues de la Fédération. Aucun de vos mots de passe n’est concerné », a informé par mail daté du 10 janvier le président de la FFSpéléo.

Le mois de décembre avait déjà été marqué par plusieurs attaques ou fuites de données reconnues au niveau d'autres organisations sportives de premier plan. Le 10 décembre, c'est par exemple la Fédération française de cyclisme qui alertait ses licenciés d'une « intrusion non autorisée sur son système d’information » survenue dans la nuit. Les informations d'identité et les coordonnées ont pu être exposées, mais « la base documentaire et les pièces d’identité stockées sur l’Espace FFC ne sont pas concernées », rassurait la fédération.

L'Ufolep incrimine l'un de ses prestataires

L'Ufolep (fédération multisports) a elle aussi informé d'une intrusion certains de ses licenciés aux alentours du 9 décembre. Cette fois, l'Union cible nommément le prestataire par lequel la fuite serait intervenue : « nous avons le regret de vous informer qu’un incident de sécurité a récemment affecté notre plateforme de gestion de formation et de compétition, opérée par notre prestataire Exalto », indique son message.

Le nom d'Exalto et sa plateforme e-licence s'étaient déjà invités dans l'actualité début 2025, à l'occasion d'une précédente vague d'attaques ciblant les clubs et fédérations sportifs. Next avait alors remonté la trace du prestataire dont les outils faisaient office de dénominateur commun entre toutes les organisations touchées.

• Fuites de données : les dessous de l’attaque contre des fédérations françaises de sport

La nouvelle vague d'attaques survenue entre décembre et janvier semble plus hétérogène pour ce qui est du mode opératoire. Elle montre toutefois que le secteur du sport amateur reste à la fois vulnérable et attractif aux yeux des pirates.

Fédération française de tir (FFTir) : un suspect interpellé

Hasard du calendrier, cette recrudescence d'attaques intervient alors que l'enquête relative au vol de données réalisé sur l'intranet de la Fédération française de tir, le 20 octobre dernier, a débouché ce 9 janvier sur la mise en examen d'un suspect. Interpellé trois jours plus tôt, ce jeune homme de 18 ans originaire d'Aubervilliers est accusé d'avoir participé à la fuite et à la vente d'informations personnelles associées aux licenciés de la FFTir.

Outre les habituels risques d'usurpation d'identité ou de communication frauduleuse, ces données semblent avoir été exploitées dans le cadre de vols par effraction chez certains détenteurs d'armes à feu, survenus après le vol des données concernées. En novembre dernier, le service central des armes et explosifs avait d'ailleurs reconnu (PDF) que des manœuvres frauduleuses avaient été rapportées par des adhérents. « En particulier, certains licenciés ont été appelés par des individus se présentant comme policier ou gendarme et les questionnant sur les armes éventuellement détenues ».

• Quels sont les risques liés aux multiples fuites de vos données personnelles ?