Une vaste base de données sensibles concernant 530 000 Français vient d’être mise en vente sur le dark web. Selon le vendeur, les données ont été volées à la Fédération française de rugby. Celle-ci reconnaît avoir été la cible d’une vaste campagne de phishing.
La Fédération Française de Rugby a été victime d’une cyberattaque. Dans un communiqué, la fédération sportive indique qu’il n’y a pas eu d’intrusion dans ses systèmes informatiques, mais qu’une campagne de phishing a bien visé ses licenciés. C’est par le biais d’une attaque par hameçonnage que les pirates sont parvenus à mettre la main sur des données personnelles.
« L’incident de sécurité s’est produit à la suite d’une campagne de phishing visant certains licenciés », explique la Fédération Française de Rugby, soulignant que l’attaque a été rapidement contenue.
Dès que l’attaque a été enregistrée, la Fédération a « immédiatement pris les mesures nécessaires » pour limiter les dégâts. Sa « portée a ainsi été contenue, à travers une série d’actions rapides, incluant notamment la suspension temporaire de certains services, le renforcement des contrôles d’accès, la réinitialisation des mots de passe et le déploiement de dispositifs de sécurité complémentaires », explique l’organisme, qui compte environ 420 000 licenciés.
Sans surprise, la Fédération a prévenu les autorités compétentes, à savoir la Commission nationale de l’informatique et des libertés (CNIL) et les services de l’État. Elle recommande à « l’ensemble de ses licenciés et partenaires à faire preuve de la plus grande vigilance face à toute communication inhabituelle (e-mails, appels, SMS) et à ne jamais transmettre d’informations personnelles (identifiants, mots de passe, numéros de licence, données personnelles…) par mail ou par téléphone ». Enfin, « la Fédération rappelle qu’elle ne demandera en aucun cas aux licenciés de communiquer leurs mots de passe ».
À lire aussi : Les arnaques au colis dopées à l’IA se multiplient en France
948 cartes d’identité compromises ?
Avant que la Fédération Française de Rugby confirme l’incident, un cybercriminel a mis en ligne une annonce sur un forum pirate. Dans celle-ci, le criminel prétend avoir mis la main sur des données concernant 530 000 licenciés. Le nom, prénom, numéro de licence, club d’appartenance et historique administratif, ainsi que près d’un million de photos de joueurs, parmi lesquelles figurent des mineurs, seraient entre ses mains.
🔴🇫🇷 Piratage Fédération Française de Rugby : 1 MILLION de photos dont de MINEURS, CNI, données médicales et identités exposées – 530 000 personnes concernées (23 ans d’historique)
L’affaire est grave : un hacker affirme avoir piraté et mis en vente une base de données attribuée… pic.twitter.com/UKJU2KpWBU
— Seb (@seblatombe) March 17, 2026
Le pirate revendique aussi le vol de 948 scans de cartes nationales d’identité, d’informations médicales, et d’un grand volume d’autres données personnelles sensibles, comme des numéros de sécurité sociale, des adresses postales, des numéros de téléphone, des adresses e‑mail, mais aussi des professions et des dates de naissance. Il propose toutes les données à la vente sur le dark web.
Contrairement au pirate, la Fédération Française de Rugby n’évoque pas le vol de ces données sensibles. Pour le moment, il faut donc prendre les informations du pirate avec des pincettes. Gageons que la fédération ne tarde pas à communiquer davantage d’informations sur l’incident. Pour rappel, la fédération avait déjà été touchée par une cyberattaque près de trois ans plus tôt, en juin 2023.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.