Le 17 mars 2026, selon nos confrères de Le Figaro, la Fédération française de rugby (FFR) a été victime d'une cyberattaque concernant ses 530 000 licenciés. Cette attaque, qui a été confirmée par la FFR via un communiqué, est une campagne de « phishing » visant certains licenciés, sans intrusion directe dans les systèmes informatiques de la fédération.
Le « phishing », ou appelé hameçonnage en français, est une technique de fraude en ligne qui consiste à tromper une personne pour l'amener à divulguer des informations sensibles (mots de passe, numéros de carte bancaire ou données personnelles). La FFR a confirmé avoir été la cible de ce type d'attaque et indiqué avoir porté plainte, tout en saisissant la Commission nationale de l'informatique et des libertés ainsi que les services de l'État.
Ce qu'il faut retenir
- La FFR a été victime d'une cyberattaque concernant ses 530 000 licenciés.
- La cyberattaque est une campagne de « phishing » visant certains licenciés.
- Les données personnelles de 530 000 licenciés, dont des noms, prénoms, numéros de licence, clubs et historique administratif, ont été mises en vente sur un forum de cybercriminalité.
Les conséquences de l'attaque
L'annonce publiée par le hacker affirmait avoir extrait des informations concernant 530 000 licenciés, ainsi que près d'un million de photos de joueurs, dont certains mineurs. Il évoque également la présence de 948 cartes nationales d'identité, de données médicales (accidents sportifs, blessures, informations liées à l'assurance), ainsi que de nombreuses données personnelles comme des numéros de sécurité sociale, des adresses, des numéros de téléphone, des e-mails ou encore des professions et des dates de naissance.
Des informations relatives aux clubs, incluant coordonnées, responsables, adresses et données administratives, figureraient aussi dans l'ensemble mis en vente. Selon la FFR, la portée de l'attaque « a été contenue » grâce à une série de mesures rapides, parmi lesquelles la suspension temporaire de certains services, le renforcement des contrôles d'accès, la réinitialisation des mots de passe et le déploiement de dispositifs de sécurité complémentaires.
Les mesures prises par la FFR
La Fédération appelle enfin les licenciés à la plus grande vigilance face à toute communication inhabituelle (via des e-mails, appels ou SMS) et les invite à ne transmettre aucune information personnelle par ces canaux. « Dans ce contexte, la Fédération invite l'ensemble de ses licenciés et partenaires à faire preuve de la plus grande vigilance face à toute communication inhabituelle (e-mails, appels, SMS) et à ne jamais transmettre d'informations personnelles (identifiants, mots de passe, numéros de licence, données personnelles…) par mail ou par téléphone », indique l'instance.
La FFR « communiquera auprès de ses licenciés dans les meilleurs délais » et rappelle « qu'elle attache la plus grande importance à la protection des données personnelles qui lui sont confiées et qu'elle met en œuvre en continu des mesures destinées à en garantir la sécurité. » En cas de doute, la FFR conseille à ses licenciés de consulter le site cybermalveillance.gouv.fr.
Les précédentes attaques
En juin 2023, la Fédération française avait déjà été victime d'une cyberattaque. La franchise mafieuse Play avait menacé de dévoiler des données « confidentielles privées et personnelles », des documents « de clients et d'employés, passeports, RH, etc » le 27 juin 2023. La Fédération française a rapidement réagi, indiquant qu'elle a « pris des mesures pour éliminer le logiciel malveillant, plus connu sous le terme de "rançongiciel" ».
En conclusion, la cyberattaque contre la FFR est un rappel important de l'importance de la protection des données personnelles et de la nécessité de prendre des mesures pour prévenir les attaques. Il est essentiel que les organisations et les individus travaillent ensemble pour protéger les données personnelles et pour prévenir les attaques.
