Fuite chez Fédération Française de tir à l'arc (via ITAC)
Le 20 janvier 2025, la Fédération Française de Tir à l'Arc (FFTA) a révélé une fuite due à une faille chez son prestataire mutualisé de gestion des licences ; un jeu de 625 434 comptes (noms, dates de naissance, adresses postales, téléphones, emails, photos de profil) a été mis en vente en ligne.
- Victime
- Fédération Française de tir à l'arc
Le 20 janvier 2025, la Fédération Française de Tir à l'Arc (FFTA) — l'organe national de gouvernance du tir à l'arc en France — a annoncé une fuite de données personnelles survenue début janvier. La fédération n'incrimine pas ses propres systèmes mais une faille de sécurité chez le prestataire externe qui gère ses espaces en ligne « licences et dirigeants » — une plateforme extranet mutualisée entre de nombreuses fédérations sportives françaises.
Le prestataire servant de multiples fédérations, l'attaque a dépassé le seul tir à l'arc : la Fédération Française de la Montagne et de l'Escalade a signalé une compromission comparable touchant environ 120 000 licenciés. Un acteur malveillant utilisant le pseudonyme « TheFrenchGuy » a proposé à la vente plus de 600 000 enregistrements attribués à la FFTA ; le jeu de données extrait par le traitement ITAC pour cette fiche totalise 625 434 comptes, un chiffre qui reflète vraisemblablement l'ensemble de la base du prestataire plutôt que les seuls licenciés du tir à l'arc.
Les catégories de données exposées comprenaient :
- Nom, prénom et sexe
- Date de naissance
- Adresse postale
- Numéro de téléphone
- Adresse email
- Photo de profil
Les mots de passe des comptes étaient, selon les communications, stockés chiffrés et n'ont pas été exposés sous une forme exploitable. En réponse, la FFTA et son prestataire ont colmaté la faille exploitée et neutralisé le fichier malveillant, la fédération a notifié la CNIL, déposé une plainte, et un audit de sécurité externe a été lancé. Le prestataire a indiqué avoir mis en place des mesures techniques de sécurité renforcées à la suite de l'incident.
Sources
- ffta.frhttps://www.ffta.fr/actualites/information-dincident-donnees-personnelles
- zataz.comhttps://www.zataz.com/fuite-de-donnees-a-la-federation-francaise-de-tir-a-larc/
- manageengine.comhttps://www.manageengine.com/fr/blog/general/fuite-de-donnees-a-la-federation-francaise-de-tir-a-larc.html
- next.inkhttps://next.ink/166951/fuites-de-donnees-les-dessous-de-lattaque-contre-des-federations-francaises-de-sport/