La Fédération Française de Football (FFF) est de nouveau sous le feu des projecteurs suite à une cyberattaque majeure. Cet « acte de cybermalveillance » a mis en péril les données personnelles de trois millions de personnes, incluant des bénévoles, licenciés et même des joueurs internationaux. Ces données ont rapidement été mises en vente sur un marché illégal.
La France est une fois de plus confrontée à une cyberattaque significative. La Fédération Française de Football a confirmé avoir été victime d’un « acte de cybermalveillance ». Les pirates ont réussi à s’approprier les données personnelles des bénévoles, licenciés, et du personnel de la fédération. Selon le chercheur Clément Domingo, cette fuite touche trois millions de personnes, dont des joueurs de renommée internationale.
CYBERALERT FRANCE | 3M de données de la Fédération Française de Football piratées à nouveau, la FFF alerte licenciés, bénévoles et personnels d’une cyberattaque
Coup dur pour le FFF qui est victime d’une nouvelle cyberattaque.
Depuis cet après-midi, vendredi 21… pic.twitter.com/9wlVmlfoXL
— SaxX ¯\_(ツ)_/¯ (@_SaxX_) February 21, 2025
Dans un courriel, la Fédération Française de Football informe toutes les personnes concernées que leurs données personnelles ont été compromises. Parmi les informations volées, on trouve « des données d’identité (nom, prénom, genre, date et lieu de naissance, nationalité), l’adresse postale, l’adresse mail, le numéro de téléphone, le numéro de personne dans le logiciel, la photo et la copie du justificatif d’identité ». Heureusement, les mots de passe, les données de santé et les coordonnées bancaires n’ont pas été affectés.
À lire aussi : Arnaque à la livraison de colis et phishing par SMS – comment ne pas se faire avoir ?
Un compte compromis à l’origine de la cyberattaque
Pour s’introduire dans les systèmes de l’association qui gère le football en France, les hackers ont ciblé le « logiciel de gestion des données des licences et administrations », précise la fédération. Ils ont utilisé un « compte compromis » pour parvenir à leurs fins, ce qui indique que tout a commencé par le vol d’identifiants.
« Sachez que nous regrettons profondément cette situation et ce, alors que la FFF a à cœur de protéger toutes les données qui lui sont confiées. Nous tenons à vous assurer que l’ensemble de nos services sont mobilisés et que nous échangeons avec les autorités, afin de pouvoir au mieux gérer cette situation et limiter au maximum les conséquences de cette attaque », assure la Fédération Française de Football.
Une fois l’intrusion constatée, les chercheurs ont pris des mesures pour repousser les pirates. Le compte à la source de la cyberattaque a été rapidement désactivé. Conformément à la réglementation, la Fédération Française de Football a alerté la CNIL (Commission Nationale de l’Informatique et des Libertés) et l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information) de l’incident. La CNIL pourrait potentiellement ouvrir une enquête pour déterminer s’il y a eu des manquements en matière de sécurisation des données.
Comme l’a noté Zataz, un pirate n’a pas tardé à mettre en vente les données de la Fédération Française de Football sur un marché noir. L’annonce indique que le répertoire comprend « 87 268 832 lignes » d’informations. Le pirate affirme avoir pu exploiter une API mal configurée d’une application utilisée par plusieurs fédérations sportives pour accéder à la base de données de la FFF.
Une deuxième cyberattaque pour la FFF en un an
C’est déjà la deuxième fois en un an que la Fédération Française de Football est victime d’une attaque. Il y a près d’un an, des pirates avaient exploité une faille pour voler les données de dix millions d’individus. Zataz a pu confirmer que les données mises en vente ne faisaient pas partie de la première fuite. Consciente des risques d’escroqueries et de phishing, la fédération recommande aux personnes affectées de rester vigilantes :
« Nous vous invitons à une grande vigilance sur les prochains communiqués que vous pourriez recevoir, notamment tout message suspect ou inhabituel émanant en apparence de la FFF ou d’un autre émetteur (par exemple, vous invitant à ouvrir une pièce jointe ou à communiquer vos comptes et vos mots de passe ou des données bancaires) ».
Cette seconde fuite vient s’ajouter aux diverses autres brèches enregistrées en France au cours des dernières semaines. On se souviendra notamment des piratages de huit fédérations sportives, qui se sont soldés par la fuite des données de 4,5 millions de Français.
Restez toujours à la pointe avec nous et découvrez pourquoi notre blog est la référence incontournable des amateurs de gadgets et de technologie.