1,133,731 adhérents - fuite revendiquée Fédération Française du Sport Universitaire
En avril 2026, un acteur malveillant connu sous le nom de HexDex a mis en vente une base de données dérobée à la Fédération Française du Sport Universitaire (FFSU), exposant l'identité, les coordonnées et les données d'inscription d'environ 1,1 million d'étudiants, licenciés et personnels.
- Victime
- Fédération Française du Sport Universitaire
- données
- 1.1M
Le 9 avril 2026, la Fédération Française du Sport Universitaire (FFSU) — la fédération nationale du sport universitaire — a fait l'objet d'une fuite de données revendiquée lorsqu'un acteur malveillant opérant sous le pseudonyme HexDex a mis en vente sa base de données d'adhérents sur des places de marché cybercriminelles. Le jeu de données concernerait environ 1,1 million de personnes (près de 1 133 731 enregistrements), couvrant les étudiants, les licenciés et les personnels rattachés au sport universitaire.
Selon la communication de la fédération elle-même, l'intrusion s'est déroulée entre le 22 et le 24 novembre 2025, lorsqu'un tiers non autorisé a exploité une vulnérabilité applicative — création de comptes utilisateurs frauduleux et exploitation d'un défaut de contrôle d'accès — afin d'extraire automatiquement les données des licenciés depuis sa plateforme. Les enregistrements dérobés ont ensuite été proposés à la vente plusieurs mois plus tard.
Les données exposées comprendraient :
- L'identité complète (nom, prénom, date de naissance)
- Les adresses e-mail et numéros de téléphone
- Les adresses postales
- Les informations d'inscription sportive et universitaire reliant les adhérents à leurs établissements
- Dans certains cas, les coordonnées des responsables légaux
La FFSU indique avoir corrigé la vulnérabilité, renforcé les contrôles d'accès et l'authentification, ajouté une limitation des requêtes et une surveillance accrue, et notifié les autorités compétentes. La campagne plus large — qui a également frappé de nombreuses autres fédérations sportives françaises et organismes publics — a été attribuée à HexDex, un suspect de 20 ans interpellé dans l'ouest de la France autour du 21 avril 2026 dans le cadre d'une enquête menée par la section cybercriminalité du parquet de Paris.
Sources
- fuitesinfos.frhttps://fuitesinfos.fr/article/2026-04-09-federation-francaise-du-sport-universitaire
- cyberattaque.orghttps://www.cyberattaque.org/federation-francaise-de-sport-universitaire-ffsu-11-million-de-licencies-exposees/
- sport-u.comhttps://sport-u.com/35164-2/
- therecord.mediahttps://therecord.media/french-hacker-cyberattacks-arrest