La Fédération Française de Gymnastique a été piratée. Les données de près de 3 millions de licenciés et ex‑adhérents ont été compromises et mises en vente sur le dark web. C’est le nouvel épisode d’une vague de cyberattaques qui frappe les fédérations sportives françaises depuis plusieurs mois.
Les fuites de données continuent de rythmer l’actualité en France. La Fédération Française de Gymnastique indique en effet avoir été la victime « d’une cyberattaque ayant engendré le vol de données licenciés ». L’attaque visait l’outil FFGym Licence, la plateforme de gestion administrative en ligne de la fédération.
À lire aussi : Fuite à la CAF – les données des bénéficiaires au RSA ont été piratées
Quelles données personnelles ont été compromises ?
Au terme de l’intrusion, l’attaquant est parvenu à accéder aux données stockées sur la plateforme, à savoir les informations personnelles « des licenciés pour la saison en cours et des personnes qui étaient licenciées il y a moins de quatre ans ». Parmi les données compromises, on trouve le nom, le prénom, la date de naissance, le sexe, l’adresse postale, l’adresse mail, le numéro de téléphone, et le n° de licence.
Ce n’est pas tout. La fuite de données concerne aussi des anciens licenciés, qui ne sont plus membres de la fédération depuis quatre ans. Dans ce cas de figure, les informations compromises sont le nom, le prénom, la date de naissance, et le n° de licence. On s’étonnera que les données aient été conservées aussi longtemps après la résiliation des affiliés, ce qui représente, sur le papier, une infraction au Règlement Général sur la Protection des Données (RGPD).
Par contre, « aucune donnée sensible (donnée bancaire, médicale…) n’a été compromise » au cours de la cyberattaque. La violation touche 2 900 000 licenciés/anciens licenciés, indique la Fédération Française de Gymnastique. Dès que l’intrusion a été constatée, l’organisme a ouvert une enquête interne et suspendu la plateforme compromise jusqu’à nouvel ordre. Sans surprise, la Fédération française a prévenu les autorités compétentes, à savoir la CNIL et l’ANSSI. Une plainte va également être déposée auprès des forces de l’ordre. « Aucune utilisation frauduleuse des données n’a été constatée à ce stade » des investigations.
À lire aussi : L’Olympique de Marseille a été piraté – les données de 400 000 supporters ont été compromises
Des données déjà en vente sur le dark web
En amont du communiqué de la fédération, les données volées ont été mises en vente sur le dark web. Un jour avant que la fuite soit officiellement annoncée, un cybercriminel a publié une annonce sur BreachForums, la plaque tournante des informations piratées. Le pirate se targue d’avoir volé et de vendre au plus offrant les données de près de trois millions de membres.
C’est loin d’être la première fédération sportive française à se retrouver dans le viseur des cybercriminels. Depuis le début de l’année, plus de 50 fédérations ont été piratées. Les données de millions de Français se sont ainsi retrouvées entre les mains de la cybercriminalité. Ces piratages s’inscrivent dans le cadre d’une explosion des fuites de données dans l’Hexagone. Ces dernières semaines ont notamment été marquées par une fuite massive de données médicales et le vol des informations de plus d’un million de comptes bancaires.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.