La France semble confrontée à des vagues des piratages massifs. Depuis début 2024, deux spécialistes du tiers payant ont vu leurs données se faire dérober, puis ce fut au tour de France Travail et de sa fuite gargantuesque et maintenant c’est la Fédération Française de Football qui a été prise pour cible par un pirate malveillant.
Comme l’a appris Le Parisien, la célèbre association aurait vu des données appartenant à 1,5 million de ses licenciés se faire aspirer suite à un piratage ayant eu lieu autour du 22 mars dernier. Cela concernerait plus spécifiquement les données issues des licenciés 2022-2023 et 2023-2024.
Comme souvent, des données personnelles et sensibles ont été collectés, à savoir : le nom, le prénom, la date et le lieu de naissance, la nationalité, l’adresse mail et postale, le numéro de téléphone et de licence et le club de rattachement. Pour les mineurs, l’identité du représentant légal aurait également été récupérée par le ou les pirates. Des informations confirmées par le service Cybermalveillance.gouv.fr qui précise tout de fois que « les mots de passe, coordonnées bancaires, données médicales et photographies d’identité ne sont, en revanche, pas concernés. »
Comme le veut la coutume, la FFF a prévenu la CNIL, déposé une plainte à la Brigade de Lutte contre la cybercriminalité et envoyé un communiqué aux licenciés ainsi qu’aux clubs, ligues et districts. Un formulaire de lettre-plainte pour « atteintes à des systèmes de traitement automatisé de données, collecte frauduleuse de données à caractère personnel et recel de bien provenant d’un délit » a été mis à disposition par la Direction de la Police Judiciaire de Paris. La fédération affirme aujourd’hui avoir colmaté la brèche utilisée pour s’infiltrer dans ses systèmes.
Le site spécialisé Zataz, qui fut l’un des premiers à découvrir le piratage, affirme avoir déjà alerté la FFF en 2023 d’une vulnérabilité dans l’une de ses interfaces de programmation qui permettait à tout un chacun de consulter des données sur différents clubs, matchs, des arbitres et même des données personnelles. L’association avait alors rapidement colmaté la brèche.
Comme d’habitude avec ce genre de fuites, la CNIL conseille d’être particulièrement attentif aux tentatives d’hameçonnage et d’usurpation d’identités qui pourraient avoir lieu dans les prochaines semaines.
Source : Le Parisien, Zataz
