Skip to content
Chaîne d’approvisionnementContenu

Fuite chez Fédération Sportive et Culturelle de France

La Fédération Sportive et Culturelle de France (FSCF) a vu les données personnelles d'environ 1,33 million d'adhérents exposées après la compromission d'un prestataire tiers de gestion des licences, exposant noms, dates de naissance, adresses, coordonnées et informations de licence/adhésion.

Victime
Fédération Sportive et Culturelle de France
données
1.3M

Le 26 février 2026, la Fédération Sportive et Culturelle de France (FSCF) — l'une des plus anciennes fédérations multisports et culturelles de France — a été confirmée comme victime d'une vaste fuite touchant les fédérations sportives françaises, avec l'exposition des données personnelles d'environ 1 334 442 adhérents.

L'incident ne résulte pas d'une compromission directe des systèmes de la FSCF. Les attaquants ont exploité une vulnérabilité chez un prestataire informatique tiers, mutualisé, chargé des plateformes de gestion des licences et d'administration utilisées par de nombreuses fédérations françaises. Un compte compromis a permis d'extraire les bases de données d'adhérents, ensuite mises en vente sur la place de marché cybercriminelle BreachForums par un acteur se faisant appeler « TheFrenchGuy », puis recirculées sur des canaux du dark web.

Les catégories de données exposées comprenaient :

  • Civilité, nom, prénom et genre
  • Date de naissance, nationalité et pays de naissance
  • Adresse postale et coordonnées (e-mail, téléphone)
  • Numéro de licence et code adhérent
  • Discipline sportive et structure d'appartenance

La fuite de la FSCF s'inscrit dans une campagne plus large ayant touché plus d'une trentaine de fédérations sportives françaises, pour un total de plus de 4,5 millions d'enregistrements dérobés. La fédération a déclaré l'incident et notifié la CNIL ; aucune donnée bancaire n'a été signalée comme compromise. La fuite provenant d'un prestataire externe, les adhérents concernés étaient exposés à un risque accru de campagnes d'hameçonnage et d'usurpation d'identité. La CNIL a par la suite engagé en 2026 une série de contrôles des fédérations concernées.

Sources

  1. zataz.comhttps://www.zataz.com/piratage-massif-des-federations-sportives-francaises-45-millions-de-donnees-vendues/
  2. idprotect.frhttps://idprotect.fr/1-sur-4-licencie-sportif-france-donnees-volees/
  3. leto.legalhttps://www.leto.legal/news/cnil-controles-federations-sportives-rgpd-2026

Incidents liés

Chaîne d’approvisionnementContenu

Fuite chez La Mine Bleue (via Vivaticket)

Le 31 mars 2026, le site touristique La Mine Bleue a informé ses clients que leurs données personnelles — nom, code postal/pays, e-mail et historique d'achats — avaient été exposées lors de la cyberattaque par rançongiciel de son prestataire de billetterie Vivaticket ; aucune donnée bancaire n'est concernée.

Victim
La Mine Bleue
Chaîne d’approvisionnementEn cours

Fuite chez Musée des Arts et Métier

Révélée le 18 mars 2026, la fuite touchant le Musée des Arts et Métiers découle de la cyberattaque par rançongiciel du prestataire Vivaticket, exposant les nom, adresse e-mail, informations de compte et historique de commandes des clients de la billetterie et de la boutique en ligne.

Victim
Musée des Arts et Métier
Chaîne d’approvisionnementContenu

Fuite chez Bibliothèque Nationale de France

En mars 2026, une attaque par rançongiciel visant le prestataire de billetterie en ligne de la Bibliothèque Nationale de France a exposé les noms et adresses électroniques des usagers ayant réservé des événements culturels ; les données bancaires, gérées par un prestataire distinct, n'ont pas été touchées.

Victim
Bibliothèque Nationale de France