Skip to content
Fuite de donnéesContenu

11 millions de records et documents fuite revendiquée chez Fédération Française d'Athlétisme

En février 2026, une base d'environ 11,4 millions d'enregistrements de licenciés, officiels et entraîneurs de la Fédération Française d'Athlétisme (FFA) a été mise en vente, exposant des données personnelles et des millions de mots de passe, dont environ 3 millions en clair.

Victime
Fédération Française d'Athlétisme #2
données
11.4M

Le 23 février 2026, la Fédération Française d'Athlétisme (FFA) — l'instance nationale dirigeant l'athlétisme en France — a été confirmée victime d'une importante fuite de données après la mise en vente, par un acteur malveillant, d'une base contenant les informations de ses licenciés. La fédération avait publiquement révélé la cyberattaque visant son logiciel de gestion des adhérents le 21 février.

L'attaquant aurait conservé un accès aux systèmes de la FFA pendant plus de deux mois, atteignant le panneau d'administration de l'application et obtenant un accès SQL, ce qui lui a permis d'extraire environ 11,4 millions d'enregistrements concernant des athlètes licenciés, des officiels et des entraîneurs. Le jeu de données mis en vente comprenait environ 5 millions de mots de passe, dont près de 3 millions stockés en clair. Le criminel a réclamé une rançon d'environ 5 000 dollars ; rien n'indique que la FFA l'ait payée.

Les catégories de données exposées comprenaient :

  • Nom, prénom, sexe
  • Adresses électronique et postale
  • Date et lieu de naissance
  • Numéro de téléphone
  • Mots de passe des comptes (des millions en clair)
  • Données liées à la licence

La FFA a notifié la CNIL et annoncé le dépôt d'une plainte, tout en appelant ses membres à la vigilance face aux risques de fraude et de hameçonnage. La fédération a déclaré l'incident clos et indiqué avoir renforcé ses mesures de protection des données. Cette fuite s'inscrivait dans une vague plus large d'attaques visant les fédérations sportives françaises en 2026 ; le pirate à l'origine de l'attaque, connu en ligne sous le pseudonyme « HexDex », a ensuite été interpellé et mis en examen.

Sources

  1. fuitesinfos.frhttps://fuitesinfos.fr/article/2026-02-23-federation-francaise-d-athletisme-2
  2. fuitesinfos.frhttps://fuitesinfos.fr/article/2026-02-14-federation-francaise-d-athletisme
  3. franceinfo.frhttps://www.franceinfo.fr/internet/securite-sur-internet/cyberattaques/la-federation-francaise-d-athletisme-victime-d-une-cyberattaque_7820777.html
  4. cyberveille.chhttps://cyberveille.ch/posts/2026-02-22-cyberattaque-a-la-ffa-donnees-de-licencies-exposees/
  5. cnews.frhttps://www.cnews.fr/france/2026-04-23/vagues-de-cyberattaques-qui-est-hexdex-ce-jeune-hacker-mis-en-examen-et-ecroue

Incidents liés

Fuite de donnéesEn cours

Fuite chez La France Insoumise

En mai 2026, le parti La France Insoumise a vu les données de sa plateforme militante Action Populaire dérobées et publiées sur un forum pirate, exposant environ 120 000 adresses email, 20 000 numéros de téléphone, des adresses postales et l'activité des militants de 2017 à 2026.

Victim
La France Insoumise