Skip to content

1,133,731 adhérents - fuite revendiquée Fédération Française du Sport Universitaire

En avril 2026, un acteur malveillant connu sous le nom de HexDex a mis en vente une base de données dérobée à la Fédération Française du Sport Universitaire (FFSU), exposant l'identité, les coordonnées et les données d'inscription d'environ 1,1 million d'étudiants, licenciés et personnels.

Victime
Fédération Française du Sport Universitaire
données
1.1M

Le 9 avril 2026, la Fédération Française du Sport Universitaire (FFSU) — la fédération nationale du sport universitaire — a fait l'objet d'une fuite de données revendiquée lorsqu'un acteur malveillant opérant sous le pseudonyme HexDex a mis en vente sa base de données d'adhérents sur des places de marché cybercriminelles. Le jeu de données concernerait environ 1,1 million de personnes (près de 1 133 731 enregistrements), couvrant les étudiants, les licenciés et les personnels rattachés au sport universitaire.

Selon la communication de la fédération elle-même, l'intrusion s'est déroulée entre le 22 et le 24 novembre 2025, lorsqu'un tiers non autorisé a exploité une vulnérabilité applicative — création de comptes utilisateurs frauduleux et exploitation d'un défaut de contrôle d'accès — afin d'extraire automatiquement les données des licenciés depuis sa plateforme. Les enregistrements dérobés ont ensuite été proposés à la vente plusieurs mois plus tard.

Les données exposées comprendraient :

  • L'identité complète (nom, prénom, date de naissance)
  • Les adresses e-mail et numéros de téléphone
  • Les adresses postales
  • Les informations d'inscription sportive et universitaire reliant les adhérents à leurs établissements
  • Dans certains cas, les coordonnées des responsables légaux

La FFSU indique avoir corrigé la vulnérabilité, renforcé les contrôles d'accès et l'authentification, ajouté une limitation des requêtes et une surveillance accrue, et notifié les autorités compétentes. La campagne plus large — qui a également frappé de nombreuses autres fédérations sportives françaises et organismes publics — a été attribuée à HexDex, un suspect de 20 ans interpellé dans l'ouest de la France autour du 21 avril 2026 dans le cadre d'une enquête menée par la section cybercriminalité du parquet de Paris.

Sources

  1. fuitesinfos.frhttps://fuitesinfos.fr/article/2026-04-09-federation-francaise-du-sport-universitaire
  2. cyberattaque.orghttps://www.cyberattaque.org/federation-francaise-de-sport-universitaire-ffsu-11-million-de-licencies-exposees/
  3. sport-u.comhttps://sport-u.com/35164-2/
  4. therecord.mediahttps://therecord.media/french-hacker-cyberattacks-arrest

Incidents liés

Exploitation de vulnérabilitéContenu

Fuite chez I-Cad

I-Cad, le fichier national français d'identification des chiens, chats et furets, a révélé en mars 2026 qu'une vulnérabilité logicielle de septembre 2025 avait permis l'interrogation automatisée de sa base, exposant les adresses email d'usagers et alimentant des campagnes de phishing.

Victim
I-Cad
Exploitation de vulnérabilitéEn cours

Fuite chez Médiathèque Numérique du Conseil Départemental de la Haute-Garonne

Révélée vers le 22 mai 2026, la médiathèque numérique départementale de la Haute-Garonne (Média31) a été compromise via l'exploitation de vulnérabilités du site, exposant les données d'environ 765 usagers : noms, e-mails, dates de naissance, villes et identifiants de connexion.

Victim
Médiathèque Numérique du Conseil Départemental de la Haute-Garonne
Records
765
Exploitation de vulnérabilitéContenu

Fuite chez Maeva

En mai 2026, Maeva — la marque de locations de vacances du groupe Pierre & Vacances-Center Parcs — a révélé une fuite au cours de laquelle un attaquant a aspiré jusqu'à dix ans d'historique de réservations, exposant noms, dates de naissance, numéros de téléphone et détails de séjour d'environ 4,5 millions de clients sur 1,6 million de réservations.

Victim
Maeva