Ils semblent se multiplier ces derniers jours dans l’Hexagone. Cette fois, c’est la Fédération Française de Football (FFF) qui a été victime d’un piratage massif : 1,5 million de données de licenciés ont été dérobées le 22 mars, selon Cybermalveillance, l’organisme du gouvernement français dédié à la sécurité numérique, qui l’annonce ce mardi 26 mars. La fuite concernerait uniquement les «données relatives aux demandes de licences des saisons 2022-2023 et 2023-2024».

«Aujourd’hui, je vends la base de données de la FFF», a sobrement annoncé le supposé hacker à l’origine de l’attaque, sur un forum bien connu des adeptes d’informations volées. Et les données «semblent légitimes» selon le site spécialisé Cybernews, qui a visionné un échantillon partagé par le pirate. Mais il y a un problème. Le hacker revendique détenir les informations de 10 millions de personnes – soit plus que les 2,3 millions de licences annoncées par la FFF en janvier 2024. Et plus que le million et demi mentionné par Cybermalveillance, ce qui impliquerait la présence de joueurs, clubs et bénévoles plus anciens. Et, contrairement à certaines informations qui annoncent le contraire, le hacker prétend détenir «toutes» les données de la FFF, «joueurs amateurs et professionnels» compris. Alors, bluff ?

Nom, prénom, genre, date et lieu de naissance, nationalité, mais aussi représentant légal pour les mineurs, adresse postale, mail, numéro de téléphone et enfin numéro de licencié et club seraient concernés, d’après la Cybermalveillance. Les licenciés victimes de l’attaque informatique seront alertés individuellement par la FFF, «comme le prévoit le règlement général sur la protection des données (RGPD)», ajoute la structure gouvernementale. Les «mots de passe, coordonnées bancaires, données médicales et photographies d’identité» ne seraient en revanche pas concernés.

De quoi rassurer un peu les victimes – mais pas trop. Car les données volées peuvent servir au hameçonnage, cette arnaque qui consiste à piéger un usager pour le pousser à partager des informations personnelles. Si un faux mail de livraison d’un produit jamais commandé semble vite suspect, la manœuvre a déjà plus de chances de fonctionner avec un courriel signé Hervé, coach de district du coin. Cybermalveillance alerte également sur les risques de possibles usurpations d’identité causés par les données volées.

Et la FFF n’est pas la seule à faire face à de telles menaces ces derniers jours. En mars, c’était France Travail qui connaissait une fuite des données de 43 millions d’allocataires après une cyberattaque. Le Réseau interministériel de l’Etat a quant à lui fait l’objet d’attaques informatiques dites par «déni de service distribué», visant cette fois à rendre ses services indisponibles en les saturant de demandes de connexions.