Skip to content
Retour au blog
fuites-donnéescybersécuritédonnées-personnellesFrance

Olympique de Marseille : 400 000 supporters exposés après le piratage de la billetterie

En février 2026, un cybercriminel a revendiqué le vol de la base de données de l'OM contenant les informations de 400 000 supporters. Le club a confirmé l'attaque, réédité les billets du derby OM-OL, et signalé l'incident à la CNIL. Retour sur une fuite qui secoue le football professionnel français.

Thomas Ferreira13 min de lecture

Quatre cent mille supporters. C'est le nombre de personnes dont les données personnelles ont été mises en vente sur un forum pirate le 22 février 2026, après le piratage de la billetterie en ligne de l'Olympique de Marseille. Noms, adresses, emails, numéros de téléphone, historiques de commandes — le tout proposé à l'achat par un cybercriminel déjà connu pour avoir frappé Réglo Mobile et des enseignes de salles de sport.

Le club phocéen a confirmé l'attaque le 24 février, tout en contestant les chiffres avancés par le pirate. La fuite a eu des conséquences immédiates et concrètes : l'OM a dû rééditer 65 000 e-billets et cartes d'abonnement pour le derby contre Lyon et le quart de finale de Coupe de France contre Toulouse. Une première dans le football français.

Ce qu'on sait de l'attaque

22 février 2026 : la revendication

En fin d'après-midi, un cybercriminel publie sur un forum pirate un échantillon de données qu'il affirme avoir extraites des systèmes de l'Olympique de Marseille. Il revendique le vol d'une base de 400 000 enregistrements de supporters et clients de la boutique en ligne du club.

Le même individu avait déjà mis en vente les bases de données de Réglo Mobile et de plusieurs salles de sport dans les semaines précédentes. Son mode opératoire est rodé : publication d'un échantillon pour prouver l'authenticité des données, puis mise en vente du fichier complet.

L'échantillon publié

L'échantillon divulgué contient des données variées et détaillées :

  • Noms et prénoms des supporters
  • Adresses postales et adresses email
  • Numéros de téléphone
  • Dates de naissance
  • Historiques de commandes (billetterie et boutique)
  • Informations de comptes de fidélité
  • Profils liés aux réseaux sociaux

Le pirate affirme également avoir compromis 2 050 comptes Drupal CMS liés au site officiel de l'OM, dont 34 comptes du personnel du club et 1 770 comptes de contributeurs et modérateurs. Cette information indique que l'attaque a visé le CMS Drupal qui propulsait le site web du club — un système qui, s'il n'est pas maintenu à jour, présente des vulnérabilités connues et documentées.

24 février : la confirmation du club

Deux jours après la publication de l'échantillon, l'Olympique de Marseille publie un communiqué officiel. Le club confirme avoir fait l'objet d'une « tentative d'intrusion informatique ». Un choix de mots soigné : « tentative », là où les données circulent déjà sur le dark web.

Le communiqué contient trois affirmations :

  1. Les chiffres circulant sont « largement exagérés » — mais l'OM ne donne aucun chiffre précis en retour
  2. Aucune donnée bancaire ni aucun mot de passe n'a été compromis
  3. Les équipes techniques et des experts externes ont « rapidement contenu l'attaque »

L'OM indique avoir déposé une plainte, notifié la CNIL conformément à l'obligation du RGPD (dans un délai de 72 heures), et créé un service d'assistance pour les supporters concernés.

Ce communiqué fait écho à un commentaire de l'expert en cybersécurité SaxX sur les réseaux sociaux : « À jamais les premiers... piratés. Le communiqué — comme beaucoup d'entreprises qui communiquent — est [minimaliste]. » Une remarque qui pointe le décalage entre la gravité de la fuite et le ton rassurant adopté par le club.

Des conséquences immédiates : la réédition des billets

Le derby OM-OL sous tension

La conséquence la plus visible de l'attaque frappe les supporters le 25 février. L'OM annonce que tous les e-billets téléchargés avant le 25 février à 19h ne sont plus valables. Les supporters doivent télécharger une nouvelle version depuis leur espace personnel sur billetterie.om.fr.

Cette mesure concerne deux rencontres :

  • Le derby OM-OL du 1er mars (Ligue 1)
  • Le quart de finale de Coupe de France OM-Toulouse

Ce ne sont pas seulement les billets individuels qui sont touchés. Les cartes d'abonnement physiques ne sont pas non plus acceptées pour le match contre Lyon. Le club demande à ses 65 000 abonnés de télécharger un nouvel e-billet. Une logistique considérable, à moins d'une semaine du derby.

Le risque d'être refoulé à l'entrée

L'OM diffuse le message sur son site officiel et ses réseaux sociaux, mais le pari est risqué : combien de supporters ne verront pas l'annonce à temps ? Des milliers de personnes pourraient se présenter à l'Orange Vélodrome avec un billet invalide. Pour un derby contre Lyon, avec les tensions habituelles entre les deux camps, le scénario de supporters refoulés à l'entrée ajoute une couche de désordre potentiel.

C'est, à notre connaissance, la première fois en France qu'un club de football professionnel est contraint de rééditer l'intégralité de ses billets à cause d'une cyberattaque.

Le Drupal du site de l'OM : un point d'entrée fragile

Un CMS à maintenir

Le système de gestion de contenu Drupal, utilisé par le site officiel de l'OM, est un logiciel open source répandu. Il propulse des sites gouvernementaux, des médias, des universités. Mais Drupal nécessite un suivi rigoureux : mises à jour de sécurité fréquentes, configuration des droits d'accès, surveillance des modules tiers.

L'affirmation du pirate — avoir compromis 2 050 comptes Drupal — pose une question : pourquoi un site de club de football comptait-il autant de comptes actifs dans son CMS ? Trente-quatre comptes de personnel, 1 770 contributeurs et modérateurs... Ce volume suggère une gestion des accès peu maîtrisée, avec des comptes probablement laissés actifs bien au-delà de leur utilité.

La surface d'attaque d'un club de football

Un club comme l'OM n'est pas seulement une équipe de football. C'est une plateforme numérique qui gère :

  • Un système de billetterie traitant des dizaines de milliers de transactions par match
  • Une boutique en ligne avec données clients et historiques de commandes
  • Un programme de fidélité avec profils détaillés de supporters
  • Un site web avec CMS, back-office et comptes multiples
  • Des applications mobiles connectées aux mêmes bases de données

Chaque composant est un point d'entrée potentiel. Et quand ces systèmes partagent des données — ce qui est le cas quand un supporter utilise le même compte pour acheter un billet, commander un maillot et consulter ses points de fidélité — une brèche dans l'un donne accès à l'ensemble.

Un club de foot, 400 000 fiches personnelles

La valeur des données sportives

Les données de supporters de football ont une valeur spécifique pour les cybercriminels. Un fichier de 400 000 supporters de l'OM, c'est :

  • Des adresses vérifiées : les personnes qui achètent des billets en ligne fournissent des adresses de livraison réelles
  • Des emails actifs : les supporters consultent les communications de leur club, ce qui signifie un taux d'ouverture élevé pour du phishing ciblé
  • Des données comportementales : historiques d'achats, matchs fréquentés, préférences
  • Un lien émotionnel fort : un supporter qui reçoit un email « de l'OM » est plus susceptible de cliquer sans vérifier

Cette dernière dimension est souvent négligée. Le phishing fonctionne sur la confiance et l'émotion. Un email prétendant offrir un accès anticipé aux billets d'un match important, ou annonçant un problème avec un abonnement, exploite un attachement que les cybercriminels savent monétiser.

Le contexte : une vague d'attaques contre le sport français

L'attaque contre l'OM ne survient pas dans le vide. Elle s'inscrit dans une série de piratages qui frappe le sport français depuis début 2025 :

  • Fédération française de football (FFF) : trois attaques en deux ans, la dernière en novembre 2025
  • Fédération française de tir : 1 million de licenciés piratés en octobre 2025, suivis de 20 à 30 cambriolages ciblés
  • Fédération française de gymnastique : 2,9 millions de données exposées en février 2026
  • Fédération française de natation : 400 000 licenciés touchés en décembre 2025
  • Ministère des Sports : 3,5 millions de foyers du dispositif Pass'Sport compromis

Le mode opératoire varie — comptes compromis, logiciels de gestion percés, CMS piratés — mais le constat est le même : les organisations sportives françaises gèrent des volumes de données personnelles comparables à ceux d'opérateurs télécoms, avec une fraction de leurs moyens de protection.

Ce que les supporters doivent faire

Si vous avez un compte sur la billetterie de l'OM, sur la boutique en ligne ou sur le site officiel du club, partez du principe que vos données ont pu être exposées.

Changez votre mot de passe. Sur billetterie.om.fr et sur tout autre service où vous utilisez le même mot de passe. Utilisez un gestionnaire de mots de passe pour créer des identifiants différents pour chaque site.

Méfiez-vous des messages mentionnant l'OM. Un email vous informant d'un « problème avec votre billet », vous proposant une « offre spéciale abonnement » ou vous demandant de « confirmer vos coordonnées » est très probablement du phishing. Les données volées — votre nom, votre adresse, vos achats passés — permettent de fabriquer des messages d'apparence parfaitement légitime.

Surveillez vos comptes bancaires. L'OM affirme qu'aucune donnée bancaire n'a été compromise. Mais par précaution, vérifiez vos relevés dans les semaines à venir, surtout si vous avez acheté des billets ou des articles en ligne récemment.

Ne répondez pas aux appels suspects. Votre numéro de téléphone figure dans la fuite. Des tentatives de vishing (phishing par téléphone) sont possibles : un interlocuteur se présentant comme le « service billetterie de l'OM » ou le « service fraude de votre banque » et vous demandant de confirmer des informations personnelles.

Signalez toute activité suspecte au service d'assistance mis en place par le club et, le cas échéant, sur la plateforme cybermalveillance.gouv.fr.

Les questions qui restent ouvertes

Le communiqué de l'OM a répondu aux questions les plus urgentes — pas de données bancaires, pas de mots de passe dans la nature — mais en a laissé plusieurs sans réponse.

Combien de personnes sont réellement touchées ? Le club dit que les chiffres du pirate sont « exagérés » mais ne fournit pas les siens. Les supporters ont le droit de savoir si leurs données font partie de la fuite.

Quel était le vecteur d'attaque ? Le pirate revendique une compromission du CMS Drupal. Le club ne confirme ni n'infirme cette information. Pour les entreprises et organisations qui utilisent le même CMS, savoir si c'est une vulnérabilité connue ou un défaut de configuration changerait la donne.

Les données sont-elles déjà en circulation ? Un échantillon a été publié. Le fichier complet a-t-il été vendu ? À combien d'acheteurs ? Ce sont ces informations qui déterminent le niveau de risque réel pour les supporters.

L'OM avait-il mis en place les mesures de sécurité requises par le RGPD ? Chiffrement des données, contrôle d'accès, audits de sécurité, politique de mots de passe... La CNIL, qui a été notifiée, pourrait décider d'ouvrir un contrôle. Si des manquements sont constatés, le club s'expose à des sanctions pouvant atteindre 4 % de son chiffre d'affaires annuel.

Quatre cent mille fiches de supporters en vente sur le dark web. Des billets réédités en catastrophe pour un derby. Un CMS avec 2 050 comptes dont personne ne semble avoir vérifié la pertinence. Et un club qui parle de « tentative d'intrusion » alors que les données circulent déjà.

L'attaque contre l'OM confirme ce que la vague de piratages du sport français montre depuis un an : les organisations sportives sont assises sur des bases de données de la taille de celles d'un opérateur télécom, mais les protègent comme un club amateur protège sa buvette. La billetterie, la boutique, le programme de fidélité, le site web — chaque service numérique est un point d'entrée, et chaque supporter est une ligne dans un fichier que quelqu'un, quelque part, est prêt à acheter.

Sources :

  • BleepingComputer, « Olympique Marseille confirms 'attempted' cyberattack after data leak », 26 février 2026 : bleepingcomputer.com
  • Solutions Numériques, « L'Olympique de Marseille victime d'une cyberattaque, les données de supporters en fuite » : solutions-numeriques.com
  • Clubic, « La cyberattaque de l'OM a une conséquence inattendue pour les supporters du derby contre Lyon » : clubic.com
  • France Bleu, « OM : le club réédite les billets électroniques pour le match face à Lyon après une cyberattaque » : francebleu.fr
  • Foot Mercato, « La billetterie de l'OM ciblée par une cyberattaque » : footmercato.net
  • SC Media, « Olympique Marseille confirms cyberattack after data breach claims » : scworld.com
  • KultureGeek, « L'Olympique de Marseille (OM) confirme un piratage : les données de 400 000 supporters volées » : kulturegeek.fr

Articles similaires

Bouygues Telecom : 6,4 millions de clients exposés, IBAN compris

Le 6 août 2025, Bouygues Telecom a confirmé une fuite de données touchant 6,4 millions de comptes clients — soit 30 % de sa base d'abonnés. Coordonnées, état civil, données contractuelles et IBAN dans la nature. Analyse de l'incident et des risques concrets pour les victimes.

DGFiP : 1,2 million de comptes bancaires exposés via le fichier FICOBA

En février 2026, un attaquant a accédé au fichier national des comptes bancaires (FICOBA) de la DGFiP pendant 16 jours grâce à des identifiants usurpés d'un fonctionnaire. IBAN, identités, adresses : retour sur une fuite qui fragilise la confiance dans l'administration fiscale.

Éducation nationale : les données personnelles de 243 000 agents dans la nature après le piratage de COMPAS

Le 15 mars 2026, un pirate a accédé au système RH COMPAS du ministère de l'Éducation nationale via un compte compromis. Noms, adresses postales, téléphones de 243 000 enseignants et agents ont été exfiltrés puis mis en vente. Retour sur les faits, les failles, et ce que les personnels concernés doivent savoir.