La Fédération française de basket-ball (FFBB) a révélé mercredi 30 avril 2026 avoir subi une cyberattaque visant l’extraction de données personnelles de près de deux millions de licenciés, un chiffre qui représente environ la moitié des affiliés au basket en France. Selon Ouest France, l’incident, survenu mi-avril, a conduit à l’interpellation rapide du cybercriminel responsable, a annoncé la FFBB dans un communiqué.

Ce qu'il faut retenir

  • Une cyberattaque a ciblé la FFBB mi-avril 2026, entraînant l’extraction de données de près de deux millions de licenciés.
  • Le cybercriminel à l’origine de l’attaque a été interpellé après les faits.
  • L’incident soulève des questions sur la protection des données dans le sport amateur et professionnel.
  • La FFBB n’a pas précisé la nature exacte des données volées (noms, adresses, numéros de licence, etc.).

Une attaque confirmée et rapidement maîtrisée

La FFBB a confirmé dans un communiqué publié ce 30 avril que son système informatique avait été compromis à partir du 15 avril 2026, date à laquelle le piratage a été détecté. Les enquêteurs, saisis dès l’alerte, ont pu identifier et interpeller le responsable présumé dans les jours suivants. « L’enquête est en cours pour déterminer l’étendue exacte des données dérobées et les éventuelles complicités », a précisé un porte-parole de la fédération. Aucune plainte n’a encore été déposée officiellement, mais la FFBB a indiqué qu’elle collaborait pleinement avec les autorités judiciaires et la Commission nationale de l’informatique et des libertés (CNIL).

Côté technique, l’attaque aurait exploité une faille dans un logiciel tiers utilisé par la fédération pour la gestion des licences. « Ce type de logiciel, largement répandu dans le milieu sportif, est une cible récurrente pour les cybercriminels », a souligné un expert en cybersécurité interrogé par Ouest France. La FFBB a depuis renforcé ses protocoles de sécurité, sans pour autant détailler les mesures mises en place.

Un risque pour les licenciés et pour l’image du basket français

Avec près de deux millions de licenciés concernés, l’incident touche une part majeure de la communauté basket en France, qu’il s’agisse de joueurs amateurs, de clubs locaux ou de structures professionnelles. Les données extraites pourraient inclure des informations sensibles comme les noms, adresses, numéros de licence, voire des données bancaires pour certains adhérents ayant payé en ligne. « Pour les clubs, le risque est double : une atteinte à la vie privée de leurs membres et une perte de confiance dans la gestion administrative », analyse un responsable de la Ligue nationale de basket (LNB).

Sur le plan juridique, la FFBB pourrait faire l’objet de sanctions de la part de la CNIL si la faille de sécurité était jugée insuffisante au regard du Règlement général sur la protection des données (RGPD). En 2023, la fédération avait déjà été rappelée à l’ordre pour des manquements similaires dans la gestion des données de ses adhérents. « La récidive n’est pas acceptable », a réagi un avocat spécialisé en droit du numérique, joint par Ouest France.

Et maintenant ?

La FFBB a annoncé qu’elle communiquerait sous 48 heures aux licenciés potentiellement concernés par l’incident, via un mail dédié précisant la nature des données exposées et les mesures de protection recommandées. Une cellule d’assistance sera également mise en place pour répondre aux questions des clubs et des joueurs. Par ailleurs, une enquête interne doit déterminer si d’autres systèmes de la fédération ont été compromis. Enfin, l’affaire relance le débat sur la sécurisation des données dans le sport, un secteur encore souvent en retard sur ces questions.

La FFBB, qui gère près de 600 000 licenciés actifs et 300 000 bénévoles, reste sous haute surveillance alors que les autorités s’interrogent sur l’origine de l’attaque et ses motivations. « Que ce soit pour du chantage, de la revente de données ou une opération de déstabilisation, les cybercriminels ont désormais un boulevard devant eux dans le sport français », avertit un analyste en cybersécurité.

La FFBB n’a pas précisé la nature exacte des données extraites lors de l’attaque. Cependant, selon les standards du secteur, il pourrait s’agir de noms, adresses, numéros de licence, dates de naissance, voire des données bancaires pour les licenciés ayant payé en ligne. La fédération a indiqué qu’elle informerait individuellement les personnes concernées sous 48 heures.

Oui, la FFBB pourrait faire l’objet de sanctions de la CNIL si l’autorité estime que la faille de sécurité était évitable et que les mesures de protection des données étaient insuffisantes au regard du RGPD. En 2023, la fédération avait déjà fait l’objet d’un rappel à l’ordre pour des manquements similaires. La CNIL n’a pas encore communiqué sur d’éventuelles suites à donner.