Première cible : la Fédération Française de Tir à l’Arc (FFTA). L’organisme a prévenu ses adhérents qu’une fuite de données avait eu lieu, affectant 77.256 personnes. Parmi les informations compromises, on retrouve des noms, prénoms, dates de naissance, adresses mail et postales, et même les photos de profil des licenciés.
Les fédés du tir à l’arc et de l’escalade dans la tourmente
La FFTA assure que les mots de passe n’ont pas été compromis, car ils étaient chiffrés, mais préfère jouer la carte de la prudence en annonçant une réinitialisation des accès pour tous les utilisateurs concernés. L’attaque aurait eu lieu début janvier mais n’a été découverte que le 20 du mois, un délai suffisant pour que les pirates fassent leur marché.
La mésaventure de la FFTA ne serait que la partie émergée de l’iceberg. Peu après, la Fédération Française de la Montagne et de l’Escalade (FFME) a annoncé un piratage similaire, cette fois-ci impactant 120.000 licenciés. Même schéma : des noms, prénoms, dates de naissance, adresses mail et postales, numéros de téléphone et identifiants se retrouvent dans la nature.
La raison de cette double attaque ? Un prestataire informatique commun, utilisé par plusieurs fédérations sportives. Autrement dit, une seule brèche a suffi pour que plusieurs organisations soient compromises. Un effet domino qui risque de ne pas s’arrêter là, d’autant plus que d’autres fédérations pourraient être concernées.
C’est ce qu’anticipe Clément Domingo, expert en cybersécurité, qui craint de nouveaux rebonds dans les prochains jours. Si les pirates ont eu accès aux bases de données de plusieurs fédérations, il y a fort à parier que d’autres annonces du même genre suivront.
Face à cette situation, la FFME invite ses adhérents à redoubler de vigilance. Parmi les menaces à surveiller : l’hameçonnage (phishing), qui consiste à usurper une identité pour voler des informations sensibles, mais aussi l’escroquerie et l’usurpation d’identité. La fédération rappelle qu’il ne faut jamais partager ses coordonnées bancaires ou son mot de passe par mail ou téléphone.
De son côté, la CNIL a été informée de l’incident. Reste à voir si elle se penchera sur les mesures de sécurité prises par les fédérations et leur prestataire informatique. Ce début d’année démarre fort en matière de cyberattaques. Après des enseignes comme Kiabi et Showroomprivé, c’est au tour du monde sportif de se retrouver dans le viseur des hackers. Qui sera le prochain sur la liste ?
🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.
