La Fédération française de football victime d’un vol de données

La Fédération française de football (FFF) a découvert, le 22 mars 2024, qu’elle avait subi une cyberattaque ayant entraîné un vol de données personnelles. Selon le parquet de Paris, la fuite concernerait potentiellement les informations de 1,5 million de licenciés sur les 2,3 millions que compte la FFF. L’incident toucherait uniquement les saisons 2022-2023 et 2023-2024.

Un cybercriminel répondant au pseudonyme de « Chris » a proposé à la vente, sur un forum du darkweb spécialisé, des données prétendument issues de ce vol. Il y affirme détenir les informations suivantes, sur des joueurs amateurs et professionnels : noms, numéros de téléphone, dates de naissance, adresses e-mail, demandes de transfert, ligues et clubs auxquels les licenciés sont rattachés.

Selon le parquet de Paris, la fuite n’inclurait pas de données bancaires et médicales, de mots de passe ou de photographies d’identité. La FFF a notifié la Cnil et déposé plainte. L’enquête a été confiée à la Brigade de lutte contre la cybercriminalité (BL2C) de la direction de la Police judiciaire de la préfecture de police de Paris. Un formulaire de plainte simplifiée pour les victimes est disponible sur le portail demarches-simplifiees.fr.

Cybermalveillance.gouv.fr appelle les licenciés de la FFF « à être particulièrement vigilants face à tout appel téléphonique ou message (mail, SMS), qui pourrait utiliser [les] données personnelles compromises dans le but de rendre crédible une tentative d’escroquerie ou d’hameçonnage ciblée ».