La Fédération française de football (FFF), la plus importante fédération sportive de France avec 2,3 millions de licenciés, a été la cible d’une cyberattaque ayant entraîné le vol de données personnelles. Selon le parquet de Paris, la FFF a découvert le 22 mars dernier que potentiellement 1,5 million de données de ses licenciés avaient été compromises.
La semaine précédente, un hacker se faisant appeler Chris a publié un message sur un forum du darkweb spécialisé dans la fuite de données, affirmant avoir dérobé les données de plusieurs millions de joueurs professionnels et amateurs affiliés à la FFF. Les informations volées comprennent notamment les noms, numéros de téléphone, dates de naissance, adresses e-mail, demandes de transfert ainsi que les ligues et clubs auxquels les licenciés sont associés.
Le mode opératoire de cette cyberattaque reste encore inconnu, et la responsabilité du hacker n’a pas encore été établie. Mais elle est analogue à celle qui a impacté France Travail il y a maintenant quelques jours de cela.
D’après les autorités, seules les données des licenciés pour les saisons 2022-2023 et 2023-2024 sont affectées. Cependant, les données bancaires, les mots de passe, les informations médicales et les photographies d’identité n’auraient pas été exposées.
Malgré cela, la plateforme Cybermalveillance.gouv.fr a averti dans un communiqué publié mardi que les personnes concernées pourraient être exposées à différentes formes d’hameçonnage, de tentatives d’escroqueries ou d’usurpation d’identité.
Enquête ouverte après la plainte de la FFF : Appel à la vigilance contre les cyberattaques dans le monde du sport
Suite à l’alerte de son prestataire en sécurité, la FFF a contacté la CNIL et a déposé plainte et une enquête préliminaire a été ouverte par la Brigade de lutte contre la cybercriminalité (BL2C) de la direction de la Police judiciaire de la préfecture de police de Paris, pour des infractions telles que les atteintes à des systèmes de traitement automatisé de données, la collecte frauduleuse de données personnelles et le recel de biens provenant d’un délit.
Un formulaire de plainte en ligne a été mis en place sur le portail demarches-simplifiees.fr. La plateforme Cybermalveillance appelle à une vigilance accrue face à toute communication (appel téléphonique, message) pouvant utiliser les données compromises dans le but de réaliser des tentatives d’escroqueries ou d’hameçonnage ciblées.
Les organisations sportives sont souvent la cible de pirates informatiques en raison des importantes quantités de données personnelles qu’elles détiennent sur leurs membres. En octobre 2023, c’est le club de basket ASVEL de Lyon-Villeurbanne, détenu par Tony Parker, avait également été touché par une cyberattaque revendiquée ultérieurement par le gang de ransomware NoEscape, qui affirmait avoir dérobé 32 gigaoctets de données.