Qui peut prétendre ne jamais avoir été piraté ? Depuis plusieurs mois, les organisations sportives françaises subissent une série de cyberattaques sans précédent. Depuis janvier 2025, au moins trente fédérations sportives ont été victimes d'intrusions ou de fuites de données. Bien que certaines n’aient pas publié de déclarations officielles, la gravité de ces violations soulève des inquiétudes majeures.
Les cas les plus marquants incluent la Fédération Française de Football, la Fédération Française de Gymnastique avec près de 2,9 millions de licences exposées, et la Fédération Française d’Athlétisme, qui a dû gérer plus de 10 millions de données compromise. D'autres disciplines comme le handball, le tir à l’arc ou encore le golf ont également été touchées.
Un incident alarmant concerne l’Union Nationale du Sport Scolaire (UNSS) où environ 1,55 million de données et images liées à des collégiens et lycéens ont été divulguées en ligne. Ce piratage mettant en cause des mineurs représente un enjeu critique.
Les informations compromises (noms, adresses, dates de naissance) alimentent des campagnes de phishing, augmentant insidieusement le risque d’usurpation d’identité. Un expert en cybersécurité, sous couvert d’anonymat, a déclaré : "L'absence de mesures comme l'authentification multifacteur facilite grandement la tâche des hackers.".
Des fédérations sportives, cibles faciles ?
La question se pose : pourquoi ce ciblage accru des fédérations sportives ? Selon Bastien Bobe, directeur Cyber Sécurité chez Commvault, ces organisations gèrent d'importants volumes de données personnelles. "Ces informations valent de l'or pour les criminels" souligne-t-il. De plus, la structure technique des fédérations, souvent fragmentée, les rend plus vulnérables aux attaques. "Les failles dans la sécurité informatique permettent aux hackers de s'introduire relativement facilement", précise Adrien Merveille, directeur technique France de Check Point.
"L'endroit où les failles surviennent est généralement lié à l'hétérogénéité des systèmes informatiques. Moins habituées aux menaces cyber, ces organisations sont de facto plus vulnérables à des attaques", note Bobe.
Des assaillants nombreux et organisés
Qui est derrière ces attaques ? Les approches des cybercriminels sont diverses. Un exemple illustratif est l’attaque par rançongiciel dont la Fédération Française de Rugby a récemment été victime, revendiquée par le groupe Play, soupçonné d’avoir des connexions avec des entités russes. D’autres groupes comme DumpSec semblent cibler particulièrement la France et ses institutions. Ce groupe, dont les membres parleraient français, a revendiqué des cyberattaques contre plusieurs organismes, y compris le Crous, au détriment de centaines de milliers d'étudiants.
Des données pour la revente… ou le vol ?
Les conséquences des fuites sont alarmantes. Les données dérobées sont généralement offertes ou revendues sur des forums spécialisés. Ces actions visent souvent à établir une réputation au sein des groupes criminels. Un observateur du secteur explique : "Les criminels commencent à regrouper les données de plusieurs fuites pour des cibles spécifiques, transformant ainsi ces informations en outils de manipulation pour des arnaques plus élaborées.".
Ce phénomène s'accompagne d'incidents physiques comme des cambriolages. À Lyon, des armes ont été dérobées chez des tireurs, incidents que le parquet apprend directement du piratage. Essentiellement, les ramifications de ces cyberattaques vont jusqu'à toucher des personnalités influentes et posent des questions de sécurité publique. En conclusion, le spectre de ces cyberattaques n'a jamais été aussi préoccupant pour le monde du sport en France, et les autorités doivent réagir rapidement pour sécuriser ces données vitales.
