Fuite chez Fédération Française Montagne Escalade
Fin janvier 2025, la Fédération Française de la Montagne et de l'Escalade (FFME) a révélé une fuite exposant un jeu de données de 808 881 comptes de licenciés : noms, adresses postales et e-mail, identifiants, dates de naissance et numéros de téléphone.
- Victime
- Fédération Française Montagne Escalade
- données
- 808.9K
Le 24 janvier 2025, la Fédération Française de la Montagne et de l'Escalade (FFME) — l'instance nationale chargée de l'escalade et des sports de montagne en France — a annoncé avoir été la cible d'un acte de « cyber-malveillance » ayant exposé les données personnelles de ses licenciés.
Cette fuite s'inscrit dans une vague plus large d'incidents touchant les fédérations sportives françaises début 2025. Dans le cas de la FFME, un acteur malveillant utilisant le pseudonyme « TheFrenchGuy » a exploité la plateforme des licenciés de la fédération : un compte de membre enregistré pouvait téléverser des fichiers de tout type sans filtrage côté serveur, et comme le serveur interprétait le PHP, un script déposé était exécuté côté serveur, donnant à l'attaquant un accès aux données sous-jacentes. Publiquement, la FFME a présenté l'incident comme l'utilisation frauduleuse d'un compte utilisateur légitime ayant permis un accès non autorisé à un ensemble limité de données personnelles, et a indiqué n'avoir relevé aucune intrusion plus profonde dans son infrastructure, ni compromission des mécanismes d'authentification, ni fuite de mots de passe.
Le jeu de données diffusé, recensé par le traqueur bonjourlafuite, comportait 808 881 comptes. Les champs exposés comprenaient :
- Nom et prénom
- Adresse postale
- Adresse e-mail
- Identifiant de licencié
- Date de naissance
- Numéro de téléphone
Aucun mot de passe ni donnée bancaire n'a été signalé comme compromis. La FFME a appliqué des mesures de confinement immédiates, ouvert une enquête, notifié les membres concernés et alerté sur un risque accru de campagnes d'hameçonnage ciblées et d'usurpation d'identité au nom de la fédération.
Sources
- ffme.frhttps://www.ffme.fr/la-ffme-victime-dun-acte-de-cyber-malveillance/
- next.inkhttps://next.ink/166951/fuites-de-donnees-les-dessous-de-lattaque-contre-des-federations-francaises-de-sport/
- journaldugeek.comhttps://www.journaldugeek.com/2025/02/04/importante-fuite-de-donnees-pour-des-milliers-de-licencies-de-federations-sportives-francaises/