Le Ministère des Sports, de la Jeunesse et de la Vie associative a reconnu vendredi avoir été victime d'une exfiltration de données au niveau de l'un de ses systèmes d'information.
« Dès la détection de l’incident, les équipes techniques spécialisées du ministère ont été mobilisées afin de vérifier la nature et l’ampleur des données concernées, et de mettre en œuvre les mesures de sécurité adaptées pour faire cesser toute fuite de données », assure l'institution, avant de préciser qu'elle remplira ses obligations réglementaires de signalement et de dépôt de plainte.
En attendant, « un travail est en cours afin d’informer, dans les meilleurs délais, les 3,5 millions de foyers concernés, et de leur partager les recommandations et consignes de sécurité à suivre », indique le ministère. S'il confirme le nombre de comptes exposés, il ne donne à ce stade aucune précision quant à la nature des données personnelles enregistrées dans le système concerné.
Cette reconnaissance de compromission constitue, quoi qu'il en soit, un nouveau rebondissement dans l'imbroglio qui se joue depuis quelques jours, entre pirates supposés et institutions publiques.
Comme nous le rapportions jeudi, un internaute surnommé Indra a affirmé mercredi disposer d'un fichier de 22 millions de lignes issu de la compromission d'une base de données associée à la Caisse d'allocations familiales, la CAF.
La CAF s'est elle aussi exprimée jeudi dans la journée, pour récuser toute intrusion dans ses systèmes.
« Les éléments diffusés par les pirates informatiques semblent provenir du système d’information d’autres services publics avec lesquels la Cnaf échange des données pour l’attribution de prestations ou services conditionnés par nos informations. Ces transmissions sont strictement encadrées par la loi et aucune atteinte technique à nos flux d’information n’a été constatée. »
Sur X, un commentateur de la scène cybersécurité, Christophe Boutry, s'était alors étonné de la nature du fichier présenté, et livrait une proposition d'analyse : le fichier aurait selon lui combiné quatre ans d'historiques, pendant lesquelles un même compte aurait pu faire l'objet d'enregistrements multiples.
Après déduplication, il suggérait que la base devait en réalité contenir 3,5 millions d'identifiants uniques, émanant de trois bases distinctes : la CAF, mais aussi la MSA (mutualité sociale agricole) et le CNOUS (Centre national des œuvres universitaires et scolaires, action sociale étudiante). « Seul le dispositif Pass'Sport croise ces trois bases. De plus, chaque ligne possède un ID spécifique id_psp », estimait-il alors.
L'analyse et le volume évoqué, 3,5 millions de comptes, confèrent à cette hypothèse un caractère plausible, même si le scénario n'est pas confirmé à ce stade.
Le dispositif Pass'Sport « a permis à plus de 5,2 millions de jeunes de bénéficier d'un soutien financier pour accéder à une activité sportive encadrée » d'après le ministère des Sports.
Commentaires (15)
Abonnez-vous pour prendre part au débat
Déjà abonné ? Se connecter
Cet article est en accès libre, mais il est le fruit du travail d'une rédaction qui ne travaille que pour ses lecteurs, sur un média sans pub et sans tracker. Soutenez le journalisme tech de qualité en vous abonnant.
Accédez en illimité aux articles
Profitez d’un média expert et unique
Intégrez la communauté et prenez part aux débats
Partagez des articles premium à vos contacts
Abonnez-vousLe 19/12/2025 à 15h59
"La page que vous essayez de consulter ne peut pas être affichée car l’authenticité des données reçues ne peut être vérifiée."
On est pas sorti des ronces.
Le 19/12/2025 à 16h27
Le 19/12/2025 à 17h02
Le 19/12/2025 à 16h30
Ça signifie quoi ? Que leur compte X est toujours opérationnel ?
Ou c'est juste pour placer quelque chose qui n'est pas INpacté, histoire d'atténuer la douleur ? « Fort heureusement, l'incident n'a fait aucune victime. » ?
Le 19/12/2025 à 19h54
Par contre, le destinataire n'a pas conservé la confidentialité.
Le 19/12/2025 à 21h42
Le 19/12/2025 à 23h32
En analysant la structure des segments JSON du dump de 15 Go, on se rend vite compte qu'on n'est pas sur une source primaire comme la CAF, mais sur un agrégateur tiers. Plusieurs indices techniques ne trompent pas :
D'abord, la nomenclature des clés est explicite : le champ racine s'appelle id_psp. PSP est l'acronyme technique propre au Pass'Sport. Dans une base interne de la CAF, on trouverait des id_individu ou num_allocataire, mais jamais ce tag spécifique.
Ensuite, c'est le mélange des organismes qui est le "smoking gun". Le fichier contient un champ "organisme" avec trois valeurs : CAF, MSA et CNOUS. Techniquement, la CAF n'héberge jamais de données du CNOUS ou de la MSA dans ce format. Seule une plateforme pivot, comme celle du Pass'Sport qui croise ces trois sources pour vérifier l'éligibilité des jeunes (boursiers ou allocataires), peut présenter une telle consolidation.
La hiérarchie des données confirme aussi cette thèse. Le JSON est centré sur le Bénéficiaire (l'enfant/le jeune à la racine) et imbrique l'Allocataire (le parent) en second plan. C'est l'inverse du modèle de données de la CAF, mais c'est exactement le modèle du Pass'Sport : l'aide est pour le jeune, le droit est ouvert par le parent.
Enfin, deux points viennent sceller le tableau ...
La gestion par campagnes : Le champ exercice_id (de 1 à 4) correspond pile aux saisons du dispositif depuis son lancement en 2021. Cela explique d'ailleurs pourquoi on annonce 22 millions de lignes : c'est un historique cumulé et non 22 millions de personnes uniques (le vrai chiffre tourne autour de 3,5 millions de foyers).
Le suivi dynamique : En observant un même profil sur 4 ans, on voit la donnée évoluer. Un mineur rattaché au mail de ses parents en 2022 bascule sur son propre email personnel (iCloud/Gmail) et son statut "étudiant boursier" en 2025.
Tout indique une exfiltration via un accès partenaire (probablement le portail LeCompteAsso) plutôt qu'un hack des serveurs. La piste la plus probable est celle d'une faille de type IDOR (Insecure Direct Object Reference) sur l'interface de gestion des remboursements.
Concrètement, une fois qu'un hacker parvient à créer ou usurper un compte d'association valide, il accède à une URL du type api/beneficiaire/ID-DOSSIER. Si le système est mal conçu, il suffit de changer le numéro d'ID de manière automatisée pour que le serveur renvoie les données du dossier suivant, sans vérifier si l'association a un droit de regard sur ce bénéficiaire précis.
C'est ainsi qu'ils sont passés de la consultation d'un seul code Pass'Sport à l'aspiration d'une base de données nationale en une seule nuit.
Modifié le 20/12/2025 à 02h33
Mais une association :
- ne devrait avoir accès qu'à l'année courante
- devrait faire une recherche initiale avec le nom ou identifiant fourni par le bénéficiaire, pour par exemple obtenir un hash ou UUID (qui ne permet pas de deviner les autres valeurs, et donc ne permet pas d'extraire de données)
Modifié le 20/12/2025 à 10h45
Donc en gros il y a une agrégation de données possible provenant de plusieurs sources (CAF, MSA et CNOUS) mise en place par un service tiers.
L'attention va se diriger vers le service tiers évidement.
- Il me semble qu'il y avait des débats (2011-2012) à dans les hémicycles à propos des usurpation d'identité (donc des moyen d'identification) avec la question des "liens forts" et "liens faibles". Loi rejetée par le CC à l'époque. Bon bin quand bien même c'est indirect, c'est l'exemple pratique de ce qu'il n'aurait pas du être fait.
- Quid du service tiers et de la mise en production de ce genre de procédé ? Il me semble que ce n'est pas vraiment super pointu. Cela porte les stigmates d'un truc fait en Javascript (JSON, et forme de l'URL). Ça en dit long. Prestation à l'arrache ???
A voir si on aura l'excuse du "C'était du temporaire qui s'est transformé en définitif". C'est quand un signe des temps (et c'est pas d'hier) d'avoir du temporaire qui devient toujours définitif.
Le 20/12/2025 à 10h54
Le 20/12/2025 à 11h52
Ça continue ! Et l'année n'est pas finie.
Le 20/12/2025 à 12h25
Le 20/12/2025 à 12h34
Ce n’est pas lui qui avait vendu des données confidentielles de personnes françaises sur le dark web ?
Modifié le 20/12/2025 à 12h43
Le monde :
Le figaro :
Modifié le 26/12/2025 à 14h04
Edit : c'est bien lui, il suffit de consulter la page de profil :
Le pire c'est que le mec utilise cette "renommée" pour faire du consulting et animer des émissions !
Signaler un commentaire
Voulez-vous vraiment signaler ce commentaire ?