17 octobre 2024

Piratage de la FFF : le vol de données de plus d’un million de licenciés.

Le 26 mars dernier, le scandale éclate à la FFF. La Fédération française de Football est victime d’un piratage d’envergure. Plus d’un million de données des licenciés sont dérobées et prêtes à être vendues. Cette cyberattaque remet en question la sécurité des plateformes informatiques propres à chaque fédération. Que doivent craindre les victimes ? Le point sur le vol de données FFF et les inquiétudes.

Découverte du vol de données : le football amateur touché

L’annonce du piratage est réalisée par un hacker dont l’identité n’a pas été découverte. En mars dernier, il publie un message sur un forum, stipulant détenir les informations personnelles contenues dans plus d’un million de licences amateurs. Le prestataire de sécurité de la FFF et l’ANSI (Agence Nationale de la Sécurité des Systèmes d’Information) confirment rapidement la divulgation des données.

Les éléments personnels compromis des joueurs et autres acteurs du football amateur disposant d’une licence ont été détaillés dans un communiqué de l’organisme Cybermalveillance le 26 mars dernier. Ils comprennent :

  • les licences des saisons 2022-2023 et 2023-2024 ;
  • les informations personnelles (nom, prénom, genre, date et lieu de naissance et nationalité) ;
  • le nom du représentant légal pour le licencié mineur ;
  • l’adresse postale, l’adresse mail, le téléphone ;
  • le numéro du licencié et son club rattaché.

Si vous ou votre enfant avez été licencié au cours de ces dernières saisons, vous êtes possiblement concerné par ce piratage.

La FFF a ajouté que les mots de passe, les coordonnées bancaires, les photographies des membres et les données médicales n’avaient pas été volés. L’association a porté plainte et le Parquet de Paris confirme l’ouverture d’une enquête préliminaire auprès de la Brigade de Lutte contre la Cybercriminalité (BL2C). Les résultats des premières investigations n’ont pas encore été communiqués à ce jour.

Il semblerait que seule la base des données des joueurs amateurs soit touchée par le piratage. Les informations des joueurs professionnels ne seraient pas concernées par cette extraction de données. Toutes personnes impliquées par la violation de ces données personnelles peuvent déposer plainte directement sur le portail sécurisé des plaintes en ligne.

Les risques encourus par les licenciés concernés par le vol de leurs données

Tous les membres et clubs de football ont été alertés par la fédération rapidement après la découverte de la cyberattaque, par l’intermédiaire d’un mail ou d’une lettre. L’organisation Cybermalveillance invite tous les licenciés à se montrer vigilants.

Les tentatives de phishing auprès des utilisateurs concernés par la divulgation de leurs informations

Les personnes touchées peuvent être les victimes d’hameçonnage, c’est-à-dire de mails frauduleux, d’appels ou de SMS malveillants. Le phishing et le smishing vous poussent à communiquer des éléments ou à cliquer sur des liens malveillants. Vos informations ont pu être revendues à des pirates, cherchant d’ores et déjà à lancer une vague de SMS frauduleux dans le but de vous soutirer des éléments bancaires.

À quel message frauduleux s’attendre après une cyberattaque ?

Les mails, SMS et appels frauduleux usurpent l’identité des opérateurs, de sites marchands, des services de l’État, des organismes bancaires ou de votre service de VOD. Les messages vous invitent à réaliser une action urgente. Vous devez, par exemple, redonner vos coordonnées bancaires pour maintenir un abonnement. Un colis qui vous est destiné est bloqué et vous devez intervenir. Votre enfant a perdu son numéro de téléphone et a besoin de vous.

Si les mails malveillants sont plus simples à détecter, il n’en est pas de même pour les SMS. Ne cliquez pas sur les liens contenus dans un message et bloquez immédiatement l’expéditeur. Vous pouvez également opérer un signalement au 33700. Si vous êtes déjà la cible de ces messages, vous êtes sensibilisé aux méthodes des hackers. N’hésitez pas cependant à signaler aux autorités toute tentative d’hameçonnage.

La réaction de la FFF après l’exposition des données de ses licenciés

Après avoir été alertée de la divulgation des données, la FFF s’est empressée de prévenir la CNIL (Commission nationale de l’informatique et des libertés), conformément à la loi. L’ampleur exacte de la cyberattaque n’est pas encore connue. Le pirate, ou le groupe de hackers, à l’origine de l’intrusion, n’ont pas non plus été identifiés.

La faille de sécurité a été détectée au sein du système de gestion de données des utilisateurs de la FFF. Le site Foot Amateur s’est d’ores et déjà plaint de cette plateforme jugée trop vieille et difficile pour la saisie des feuilles de matches informatisées et des licences. Ces plateformes vieillissantes, réalisées il y a quelques années pour les associations sportives, peuvent comporter des vulnérabilités si elles ne sont pas mises à jour régulièrement par leur éditeur.

Afin de rassurer les joueurs, la FFF et son prestataire de sécurité informatique ont colmaté la faille pour éviter toute récidive. Un audit complet de sécurité a été commandé pour réaliser un état des lieux et éviter ce type d’intrusion dans les années à venir.

Comment le vol des données de la FFF a-t-il pu avoir lieu ?

Le ou les pirates ont exploité une faille présente dans la base de données. Ils se sont donc probablement servis d’une injection SQL (Structured Query Language ou langage de requête structuré en français). Le langage SQL est propre aux bases de données. Ce type d’attaque est l’une des plus courantes et les plus simples à mettre en place, surtout si la base de données n’est pas protégée par des systèmes de sécurité.

L’injection SQL consiste à intégrer des instructions SQL malveillantes. Cette intrusion donne aux hackers un accès complet à la base de données. Les attaques par injection SQL peuvent s’éviter. Une analyse régulière des services peut révéler la présence des failles et les corriger. Une mise à jour constante apporte des correctifs aux vulnérabilités. La mise en place d’un pare-feu d’application Web (WAF) intervient de son côté pour filtrer les requêtes SQL malveillantes.

La récupération des données est l’un des objectifs majeurs des pirates. Elles représentent un véritable intérêt financier. D’ailleurs, elles sont considérées comme l’or noir du dark Web. Les données se vendent pour être ensuite exploitées à des fins d’hameçonnage.

Les pirates peuvent également demander des rançons aux entreprises ou organisations pour récupérer leurs informations confidentielles. Dans ce cas, les pirates obtiennent leur rançon et vendent en parallèle les données volées. Les promesses de restitution ne sont généralement jamais tenues.

La Fédération française de Football face au RGPD et à la CNIL

Le piratage des données de la FFF interroge quant aux sécurités mises en place par la fédération en matière de protection de la vie privée. Cette fuite révèle une faille de sécurité qu’ont pu exploiter les pirates. La FFF est-elle alors en conformité avec la réglementation RGPD et les obligations imposées quant à la sécurisation et au traitement des données ?

Outre le respect des données et le consentement des personnes quant à leur utilisation, le RGPD impose également des normes de sécurité. Toute entreprise ou organisation doit assurer la sécurité des données. Pour ce faire, des analyses régulières doivent être menées pour révéler les risques éventuels et les failles de vulnérabilité.

Puisque l’enquête est en cours, aucun élément n’est pour le moment communiqué quant à la responsabilité de la FFF dans ce piratage. Pour rappel, la non-conformité avec le RGPG implique plusieurs risques :

  • une amende de 10 millions d’euros et 2 % du chiffre d’affaires en cas de dysfonctionnement ;
  • une amende de 20 millions d’euros ou de 4 % du chiffre d’affaires en cas d’infractions graves ;
  • une réputation en baisse et une perte de confiance des utilisateurs.

Le montant de l’amende varie en fonction du niveau d’infraction commise. À titre d’exemple, Free a été sanctionné de 300 000 euros en 2022 pour non-conformité à la réglementation du RGPD. Vous pouvez retrouver l’ensemble des sanctions de la CNIL et leur cause directement sur le site de la commission.

L’appel à la vigilance des autres organisations sportives en France

La fédération de football n’est pas la seule à disposer de sites Web et de bases de données de l’ensemble de ses licenciés. Si la plateforme pour le ballon rond est montrée du doigt pour son aspect vieillissant, il est fort à parier que d’autres fédérations usent des mêmes applications vieillissantes. Un audit de sécurité pour l’ensemble des fédérations sportives pourrait être judicieux.

La fuite de données de la FFF intervient dans un climat où la cybercriminalité fait rage. Après le piratage de France Travail et la violation de données de deux opérateurs de tiers payant, les pirates se montrent très actifs en ce début d’année 2024. Cette recrudescence impose aux organisations et aux entreprises privées ou publiques de se montrer vigilantes et de surveiller leurs systèmes d’information. Des mesures de sécurité s’imposent, orchestrées par des experts. N’oublions pas que, dans toute divulgation de données, ce sont les particuliers les premières victimes.

Plus

d'articles

30 décembre 2024

Avec le développement des menaces dans le cyberespace, les services secrets ont dû déployer de nouvelles approches pour assurer la […]

2 décembre 2024

L’opération Cronos a marqué l’histoire de la cybersécurité en 2024. Menées par de nombreuses agences internationales, l’enquête, puis l’intervention des […]

26 novembre 2024

Le Black Friday apporte aux consommateurs son lot de réduction et de prix attractifs. À la veille de Noël, cet […]

21 novembre 2024

Les événements liés à la cybersécurité rythment chaque année le planning des experts de la sécurité numérique. Ces grandes réunions […]

8 novembre 2024

Le FBI dispose d’une liste de hackers les plus recherchés au monde. Ces cybercriminels sont réputés pour leurs actions notables […]

21 octobre 2024

Si vous êtes propriétaire d’une voiture Kia, rassurez-vous. La faille de sécurité impliquant de nombreux véhicules n’a été détectée que […]