Skip to content
Retour au blog
fuites-donnéescybersécuritédonnées-personnellesFrance

Fédérations sportives : la vague de cyberattaques qui a exposé des millions de licenciés français

En six mois, plus de trente fédérations sportives françaises ont été piratées. Football, tir, gymnastique, natation, athlétisme : retour sur une série d'attaques qui a exposé les données de millions de licenciés et provoqué des cambriolages ciblés.

Thomas Ferreira15 min de lecture

Le sport français est devenu un terrain de chasse. Entre début 2025 et avril 2026, plus de trente fédérations sportives ont été victimes de cyberattaques ou de fuites de données. Football, tir, gymnastique, athlétisme, natation, handball, tennis, golf, voile, escalade, chasse — la liste ne cesse de s'allonger. À chaque annonce, le même scénario : un compte compromis, un logiciel de gestion de licences percé, des millions de données personnelles aspirées.

Ce n'est pas une coïncidence. C'est une campagne. Et elle a déjà des conséquences dans le monde réel : des armes volées, des mineurs exposés, et un ministère touché en plein dispositif d'aide aux familles.

La chronologie d'une vague sans précédent

Janvier 2025 : les premiers coups de semonce

Les premiers signaux arrivent début 2025. En janvier, la Fédération française de tir à l'arc (FFTA) et la Fédération française de la montagne et de l'escalade annoncent avoir été victimes de fuites de données. Environ 200 000 personnes sont concernées au total. L'attaque passe par un prestataire informatique commun aux deux fédérations — un schéma qui va se répéter inlassablement.

À ce stade, l'affaire fait peu de bruit. Deux petites fédérations, des volumes modestes. Personne ne voit venir la suite.

Octobre 2025 : la Fédération de tir, l'affaire qui change tout

Le week-end du 18 au 19 octobre 2025, la Fédération française de tir sportif (FFTir) est piratée via un compte interne compromis. Les données de un million de personnes — 250 000 adhérents actifs et 750 000 anciens licenciés — sont aspirées.

Ce piratage devient rapidement l'un des plus graves de l'année, non pas par le volume de données, mais par leur nature. Les fichiers de la FFTir contiennent les adresses de personnes possédant des armes à feu à leur domicile. Ces données sont mises en vente sur le darknet dans les jours qui suivent.

Les conséquences ne tardent pas. Des cambriolages ciblés commencent. À Limoges, deux pistolets sont dérobés chez un tireur sportif. À Nice, un individu se fait passer pour un policier pour s'introduire chez un licencié. À Villeurbanne, dix armes et de nombreuses cartouches disparaissent lors d'un cambriolage violent. Le ministre de l'Intérieur Laurent Nuñez confirmera en avril 2026 que entre 20 et 30 cambriolages sont directement liés à cette fuite de données.

Un suspect de 18 ans est interpellé en Seine-Saint-Denis le 8 janvier 2026 et mis en examen. Le parquet de Paris confirme enquêter sur d'autres personnes potentiellement impliquées.

Novembre 2025 : le football et le handball tombent

Fin novembre, la Fédération française de football (FFF) annonce à son tour avoir été victime d'un accès non autorisé à son logiciel de gestion des clubs. C'est la troisième attaque en moins de deux ans pour la FFF, qui avait déjà subi une collecte potentielle de 1,5 million de données de licenciés en mars 2024.

Les données dérobées incluent les noms, prénoms, sexe, dates et lieux de naissance, nationalité, adresses postales et électroniques, numéros de téléphone et numéros de licence. La FFF réinitialise tous les mots de passe et saisit la CNIL et l'ANSSI.

Quelques jours plus tard, la Fédération française de handball (FFHB) annonce le même type d'intrusion, via le même vecteur : un logiciel de gestion des clubs compromis par des identifiants volés. La fédération de tennis de table est également touchée.

Décembre 2025 : la natation et le ministère des Sports

La Fédération française de natation (FFN) est piratée dans la nuit du 6 au 7 décembre 2025. Environ 400 000 licenciés sont concernés. Les données comprennent les informations d'identité et de contact habituelles. Aucune donnée bancaire n'est touchée, précise la fédération.

Mais c'est l'annonce du 19 décembre qui marque un tournant. Le ministère des Sports révèle avoir subi une cyberattaque entraînant l'exfiltration de données de 3,5 millions de foyers bénéficiaires du dispositif Pass'Sport — une aide de l'État destinée à faciliter l'inscription des jeunes à une activité sportive. Les données compromises incluent les noms, prénoms, dates de naissance, adresses, emails, numéros de téléphone, ainsi que les codes liés aux aides sociales (ARS, AEEH, AAH, bourses).

Ce ne sont plus des données de sportifs adultes. Ce sont les données de familles, souvent modestes, avec des enfants mineurs. Le ministère affirme qu'aucune donnée bancaire n'a été dérobée, mais le volume et la sensibilité sociale des informations font de cette fuite l'une des plus préoccupantes de la série.

Janvier 2026 : golf, tennis, chasse

La vague ne ralentit pas. Mi-janvier, la Fédération française de golf confirme un piratage touchant ses 450 000 adhérents. Les informations dérobées sont mises en vente en ligne. BFMTV rapporte que des données de célébrités figurent parmi les fichiers volés.

La Fédération française de tennis annonce avoir été touchée à son tour. La Fédération nationale des chasseurs est également piratée, avec un risque similaire à celui de la FFTir : les adresses de détenteurs d'armes à feu se retrouvent dans la nature.

Février-mars 2026 : la gymnastique, l'athlétisme et les enfants

Le 21 février, la Fédération française d'athlétisme (FFA) confirme avoir été victime d'une cyberattaque contre son logiciel de gestion des licenciés. Les estimations font état de plus de 10 millions de données extraites — un volume qui en fait l'une des plus grosses fuites de la série.

Le 27 février, la Fédération française de gymnastique (FFGym) annonce une intrusion via son outil FFGym Licence. Près de 2,9 millions de personnes sont concernées — l'ensemble des licenciés et anciens licenciés depuis 2004. L'attaque a été rendue possible par un compte club compromis par hameçonnage. Les données exposées incluent noms, prénoms, dates de naissance, adresses, emails, téléphones et numéros de licence.

Début mars, l'affaire la plus troublante de la série éclate. Le groupe de hackers DumpSec publie sur le darknet 1,55 million de photos d'élèves et 65 Go de données issues de l'Union Nationale du Sport Scolaire (UNSS). Ces données, exfiltrées en novembre 2025 depuis l'intranet OPUSS de l'organisation, concernent des collégiens et lycéens de 11 à 18 ans. Noms, identifiants, dates de naissance, établissements scolaires, adresses complètes et liens renvoyant vers les photos d'identité des mineurs. L'UNSS dépose plainte, notifie la CNIL et saisit l'ANSSI.

Des photos de mineurs, en accès libre sur le darknet. C'est le moment où la série de piratages sportifs bascule dans une dimension qui dépasse la simple fuite de données.

Un mode opératoire d'une simplicité déconcertante

Ce qui frappe dans cette vague d'attaques, c'est leur banalité technique. Pas de ransomware sophistiqué. Pas d'exploitation de vulnérabilités zero-day. Pas de groupes étatiques aux ressources illimitées.

Le mode opératoire est presque toujours le même.

Étape 1 : voler des identifiants. Les pirates obtiennent les mots de passe de comptes clubs ou de comptes employés, soit par hameçonnage (un email piégé), soit en testant des mots de passe réutilisés à partir de fuites précédentes.

Étape 2 : se connecter au logiciel de gestion des licences. Chaque fédération utilise un logiciel centralisé pour gérer les inscriptions, les renouvellements, les coordonnées des adhérents. Ce logiciel est accessible en ligne, souvent sans authentification à deux facteurs.

Étape 3 : aspirer les données. Une fois connecté, l'attaquant peut consulter et extraire les fiches de l'ensemble des licenciés. Pas de restriction d'accès par périmètre, pas de limite de volume, pas d'alerte automatique.

Un hacker interrogé par Le Parisien résume la situation : « Je me suis facilement fait passer pour un bénévole. » Voilà le niveau de sophistication nécessaire pour compromettre une fédération sportive française.

Pourquoi les fédérations sont des cibles faciles

Un écosystème informatique éclaté

Les fédérations sportives françaises ne sont pas des entreprises technologiques. Elles gèrent des budgets serrés, des équipes informatiques réduites — parfois inexistantes — et une infrastructure technique souvent confiée à un ou deux prestataires. Le logiciel de gestion des licences, qui concentre les données les plus sensibles, est parfois le même chez plusieurs fédérations, comme l'ont montré les attaques de janvier 2025 contre la FFTA et la FF Montagne.

Cette mutualisation crée un effet domino. Quand un prestataire ou un logiciel est compromis, l'attaquant peut potentiellement atteindre plusieurs fédérations d'un coup.

L'absence systématique de double authentification

Le facteur commun à presque toutes ces attaques : un simple couple identifiant/mot de passe suffisait à accéder aux données de centaines de milliers de personnes. L'authentification multi-facteurs (MFA), qui ajoute une vérification par SMS, application ou clé physique en plus du mot de passe, est quasi absente de l'écosystème fédéral sportif.

C'est d'autant plus problématique que les accès sont distribués à des centaines de clubs, chacun avec ses propres bénévoles, ses propres pratiques de sécurité, ses propres mots de passe. Un seul club négligent ouvre la porte à l'ensemble de la base de données.

Des données massives, une valeur sous-estimée

Les fédérations sportives françaises comptent environ 16 millions de licenciés. Avec les anciens adhérents, ce sont des dizaines de millions de fiches personnelles qui sont stockées dans ces systèmes. Les fédérations n'ont pas conscience d'être assises sur un trésor pour les cybercriminels : des fichiers volumineux, complets (identité + contact + localisation), récents, et facilement exploitables pour du phishing ciblé.

L'effet des Jeux olympiques et paralympiques de Paris 2024, qui ont provoqué une hausse des inscriptions sportives, a encore gonflé ces bases de données.

Les conséquences dans le monde réel

Des cambriolages, des armes volées

L'affaire de la FFTir est sans doute la plus grave par ses conséquences physiques. Les 20 à 30 cambriolages confirmés par le ministre de l'Intérieur représentent un cas inédit en France : une fuite de données informatique qui mène directement à des infractions violentes, avec un risque pour l'intégrité physique des victimes.

Les armes volées lors de ces cambriolages alimentent potentiellement des circuits criminels. Le lien entre données numériques et sécurité physique, souvent évoqué en théorie, s'est matérialisé de la façon la plus concrète possible.

1,5 million de photos de mineurs sur le darknet

La fuite UNSS pose des questions qui dépassent le cadre de la cybersécurité. Des photos d'identité de collégiens et lycéens, associées à leurs noms, dates de naissance et établissements scolaires, sont désormais accessibles sur le darknet. Les risques sont multiples : usurpation d'identité, harcèlement, exploitation des images à des fins malveillantes.

L'UNSS a rendu les liens d'accès aux images inopérants depuis ses serveurs, mais les fichiers déjà téléchargés ne peuvent pas être récupérés. Pour les familles concernées, c'est un dommage irréversible.

Du phishing sur mesure

Pour les millions d'adultes dont les données ont fuité via les fédérations sportives, le risque principal est le phishing ciblé. Un attaquant qui sait que vous êtes licencié dans un club de natation à Lyon, avec votre adresse, votre email et votre numéro de téléphone, peut vous envoyer un message crédible au nom de votre club, de votre fédération ou de votre mutuelle.

Ce type d'attaque est d'autant plus efficace que les victimes ne s'attendent pas à recevoir un message frauduleux lié à leur activité sportive. On se méfie d'un SMS de sa banque. On se méfie moins d'un email de renouvellement de licence.

La réponse institutionnelle

La CNIL passe à l'action

En avril 2026, la CNIL annonce placer les fédérations sportives parmi ses thématiques prioritaires de contrôle pour l'année. Une trentaine d'organisations seront soumises à des vérifications portant sur la sécurisation des données personnelles. La Commission rappelle que certaines de ces données sont particulièrement sensibles car liées à la santé (certificats médicaux) ou à des mineurs.

La CNIL avait publié dès 2024 un guide détaillant les obligations des fédérations en matière de protection des données. Force est de constater que ce guide n'a pas suffi.

L'ANSSI et les plaintes

Chaque fédération touchée a suivi le même protocole : dépôt de plainte, notification à la CNIL, saisine de l'ANSSI. Les enquêtes sont en cours, mais elles se heurtent à la nature décentralisée des attaques. Certaines intrusions sont le fait d'individus isolés — comme le suspect de 18 ans interpellé pour le piratage de la FFTir. D'autres sont revendiquées par des groupes organisés comme DumpSec (UNSS) ou Play Ransomware.

Ce que cette vague révèle

Le sport, angle mort de la cybersécurité française

La France investit dans la cybersécurité des hôpitaux (programme CaRE), des collectivités, des opérateurs d'importance vitale. Mais les fédérations sportives, qui gèrent des données personnelles à une échelle comparable à celle de certains services publics, restent dans un angle mort. Aucun programme de sécurisation dédié. Aucune obligation de certification. Aucun audit systématique.

La faille des prestataires et des bénévoles

Le modèle fédéral repose sur des milliers de clubs gérés par des bénévoles qui accèdent aux mêmes systèmes d'information que les administrateurs nationaux. C'est un modèle de gestion des accès qui serait considéré comme inacceptable dans n'importe quelle entreprise. Mais dans le sport amateur, personne n'a jamais posé la question.

Un problème de proportionnalité

Les fédérations sportives collectent et conservent des données pendant des années — parfois des décennies, comme le montre la fuite FFGym avec des données remontant à 2004. La question de la minimisation des données et de la durée de conservation se pose avec force. Faut-il vraiment que la fédération de gymnastique conserve les adresses et numéros de téléphone de personnes qui ont pris leur licence il y a vingt ans ?

Ce que les licenciés doivent faire

Si vous êtes ou avez été licencié dans une fédération sportive française, considérez que vos données personnelles ont pu être exposées. Voici les précautions à prendre.

Changez vos mots de passe. Si vous utilisez le même mot de passe pour votre espace fédéral et pour d'autres services, changez-le partout. Activez l'authentification à deux facteurs sur tous les comptes qui le proposent.

Méfiez-vous des messages liés à votre activité sportive. Un email de votre « fédération » ou de votre « club » vous demandant de mettre à jour vos coordonnées, de payer une cotisation ou de télécharger un document est potentiellement frauduleux. Vérifiez toujours en contactant directement votre club.

Surveillez vos comptes. Si votre date de naissance a fuité — ce qui est le cas dans la majorité de ces attaques —, elle peut être utilisée pour tenter de prendre le contrôle de vos comptes sur d'autres services (banque, assurance, administration). Soyez attentif aux notifications inhabituelles.

Pour les parents d'enfants concernés par la fuite UNSS, surveillez toute utilisation suspecte de l'identité de votre enfant. Déposez plainte si vous constatez une usurpation.

Trente fédérations piratées. Des millions de licenciés exposés. Des armes volées. Des photos de mineurs sur le darknet. Un ministère touché. Et un mode opératoire d'une simplicité qui confine à l'absurde : un mot de passe volé, pas de double authentification, et la porte est ouverte sur les données de tout le monde.

La CNIL a annoncé qu'elle allait contrôler. C'est un début. Mais la question de fond reste entière : comment un écosystème qui brasse les données de 16 millions de personnes a-t-il pu rester aussi longtemps sans protection digne de ce nom ?

Sources :

  • ZATAZ, « Fédérations sportives françaises visées par des cyberattaques », 7 décembre 2025 : zataz.com
  • ZDNet, « Fuites de données en série dans le sport, la CNIL place 30 fédérations sous surveillance », 8 avril 2026 : zdnet.fr
  • BFMTV, « Piratage à la Fédération française de tir : un suspect interpellé en Seine-Saint-Denis », 8 janvier 2026 : bfmtv.com
  • France Bleu, « Piratage à la Fédération française de tir : 20 à 30 cambriolages possiblement liés au vol de données », 8 avril 2026 : francebleu.fr
  • Capital, « Deux fédérations sportives françaises visées par des cyberattaques : les données de 200 000 personnes dérobées », 26 janvier 2025 : capital.fr
  • Franceinfo, « Le ministère des Sports annonce avoir été victime d'une cyberattaque, 3,5 millions de foyers concernés », 19 décembre 2025 : franceinfo.fr
  • BFMTV, « La Fédération française de golf, qui compte 450 000 adhérents, a été victime d'un piratage », 23 janvier 2026 : bfmtv.com

Articles similaires

Bouygues Telecom : 6,4 millions de clients exposés, IBAN compris

Le 6 août 2025, Bouygues Telecom a confirmé une fuite de données touchant 6,4 millions de comptes clients — soit 30 % de sa base d'abonnés. Coordonnées, état civil, données contractuelles et IBAN dans la nature. Analyse de l'incident et des risques concrets pour les victimes.

DGFiP : 1,2 million de comptes bancaires exposés via le fichier FICOBA

En février 2026, un attaquant a accédé au fichier national des comptes bancaires (FICOBA) de la DGFiP pendant 16 jours grâce à des identifiants usurpés d'un fonctionnaire. IBAN, identités, adresses : retour sur une fuite qui fragilise la confiance dans l'administration fiscale.

Éducation nationale : les données personnelles de 243 000 agents dans la nature après le piratage de COMPAS

Le 15 mars 2026, un pirate a accédé au système RH COMPAS du ministère de l'Éducation nationale via un compte compromis. Noms, adresses postales, téléphones de 243 000 enseignants et agents ont été exfiltrés puis mis en vente. Retour sur les faits, les failles, et ce que les personnels concernés doivent savoir.