L’Union nationale du sport scolaire (UNSS) a reconnu mardi 3 mars avoir été victime d’une fuite de données qu’elle présente comme « issues de son outil de gestion OPUSS ». L’intrusion dont elle découle remonterait à plusieurs mois.

« Ces données avaient fait l’objet d’une exfiltration dispersée en novembre 2025, pour laquelle l’UNSS avait immédiatement alerté son prestataire technique. La mise en vente récente de ces données a conduit à une nouvelle mobilisation des équipes et à l’activation des procédures prévues en matière de cybersécurité », affirme l’organisation.

890 000 photos exposées ?

Son message fait suite à la publication, le 28 février dernier, d’un post de forum signé Dumpsec annonçant la mise en vente de deux fichiers issus de l’UNSS : un jeu de 7 millions d’enregistrements et un ensemble de 889 000 photos des collégiens et lycéens qui constituent la base des licenciés de l’organisation. Cette annonce a été relayée le jour même sur les réseaux sociaux, et c’est probablement ce qui a conduit l’UNSS à finalement réagir mardi.

L’Union ne commente pas le volume de données évoqué par l’auteur du post en question, mais elle confirme en revanche que des données personnelles et des photos d’adhérents ont été compromises :

« À ce stade des investigations, les données susceptibles d’être concernées comprennent des informations d’identification liées aux licences UNSS (nom, prénom, genre, date de naissance, établissement scolaire, classe, date d’inscription, URL de photographie d’identité). Les premières analyses indiquent que les données financières (RIB, mandats de prélèvement SEPA) ainsi que les données relatives au handicap ne seraient pas concernées par cet incident. »

Elle ajoute une précision qui appuie l’une des allégations des auteurs de l’annonce : « Les liens permettant d’accéder aux images ont été rendus inopérants ». Dans le post initial annonçant la fuite, ces derniers illustraient en effet leur promesse avec un lien pointant directement vers un répertoire du sous-domaine dédié à l’outil OPUSS sur le site de l’UNSS.

Le retour d’un prestataire déjà auréolé de nombreuses fuites

En réponse à cette fuite manifeste, l’UNSS indique avoir, « dès confirmation des faits », notifié l’incident aux autorités ainsi qu’à la Cnil, saisi l’ANSSI et engagé, avec son prestataire technique, une analyse approfondie des journaux de connexion afin d’identifier précisément l’origine et le périmètre de l’incident. Sur ce point, elle affirme que le « compte utilisateur identifié comme point d’entrée a été immédiatement neutralisé », mais ne donne aucune autre précision sur les modalités de cet accès.

L’UNSS n’indique nulle part sur son site la qualité du prestataire technique en question, et le lien censé pointer les mentions légales de la partie publique de l’intranet OPUSS est inopérant. En 2022, un certain Exalto se réjouissait toutefois de désormais compter l’UNSS parmi les clients de sa solution E-licence, destinée précisément au secteur des associations et fédérations sportives.

Or le procédé mis en œuvre (accès à un compte utilisateur avec probable élévation des privilèges via une faille de sécurité) rappelle précisément le mode opératoire impliquant E-licence et Exalto, révélé par Next début 2025 au cœur de la vague d’intrusions qui avait frappé plusieurs dizaines de fédérations sportives. Le code source de la page d’accès à OPUSS confirme que le portail exploite bien E-licence.

En attendant que l’UNSS (qui organise pour mémoire les fameux cross et bon nombre de rencontres sportives scolaires) demande des comptes à son prestataire, elle diffuse avec un bel enthousiasme les photos vers l’édition 2026 de son cross national sous forme de dossiers hébergés sur Google Drive.

En juin 2025, de jeunes pirates affirmaient déjà avoir mis la main sur 7 millions d’enregistrements issus de la base de données de l’UNSS.

​