Fédération Française d'Athlétisme : fuite de données de licenciés
La Fédération Française d'Athlétisme a annoncé en février 2026 une cyberattaque ayant exposé les données personnelles de ses licenciés. La CNIL a été saisie.
- Organisation
- Fédération Française d'Athlétisme (FFA)
- Secteur
- Sport / Associations
- Pays
- France
- Date des faits
- Accès au système antérieur de plusieurs semaines selon les sources cyber, annonce aux licenciés le 21 février 2026
- Ampleur
- Plus de 300 000 licenciés actifs concernés selon la FFA ; les sources spécialisées évoquent une base d'environ 11 millions d'enregistrements personnels cumulés sur plusieurs années, dont plusieurs millions de mots de passe (chiffres non confirmés officiellement)
- Vecteur
- Accès non autorisé au logiciel de gestion des données des licenciés ; les sources spécialisées évoquent une extraction via accès SQL (non confirmé officiellement)
- Données exposées
- nom, prénom, sexe, adresse email, adresse postale, date et lieu de naissance, numéro de téléphone, données liées à la licence, mots de passe (selon sources cyber, non confirmé par la FFA)
La Fédération Française d’Athlétisme (FFA) a informé ses licenciés, par un message diffusé le 21 février 2026, avoir été victime d’une cyberattaque visant son logiciel de gestion des données des adhérents. Selon le communiqué relayé par les structures déconcentrées de la fédération, cet accès non autorisé a exposé des données personnelles : nom, prénom, sexe, adresses email et postale, date et lieu de naissance, numéro de téléphone, ainsi que des informations liées à la licence. La FFA, qui revendique plus de 300 000 licenciés actifs, indique avoir mis fin à l’attaque, renforcé ses mesures de protection et saisi la CNIL, une plainte devant être déposée dans la foulée.
Plusieurs sources spécialisées en cybersécurité avancent une ampleur nettement supérieure : une base de l’ordre de 11 millions d’enregistrements personnels, accumulés sur plusieurs années, aurait été extraite, dont plusieurs millions de mots de passe qui auraient été stockés en clair. Ces médias évoquent une extraction par accès SQL et l’implication d’un acteur opérant sous un pseudonyme, avec une mise en vente de la base. Ces chiffres et ce mode opératoire n’ont pas été confirmés officiellement par la FFA et doivent être considérés avec prudence : le nombre d’enregistrements cumulés ne correspond pas au nombre de personnes uniques réellement concernées.
L’incident s’inscrit dans une série de cyberattaques ayant visé plusieurs fédérations sportives françaises sur la période, ce qui en accroît la portée et la visibilité médiatique. La FFA a appelé ses licenciés à une vigilance particulière face aux risques de fraude et d’hameçonnage, les données exposées se prêtant à des campagnes de phishing ciblé.
À la date de cette fiche, l’existence de la fuite et la nature des données exposées sont confirmées par le communiqué de la fédération et plusieurs médias indépendants. En revanche, le volume exact de personnes touchées, la présence de mots de passe en clair et le détail technique de l’attaque restent à confirmer par une communication officielle de la FFA ou de la CNIL.
Sources
- Cyberattaque à la FFA : données de licenciés exposées (CyberVeille)
- La Fédération Française d'athlétisme victime d'un piratage, les données dans la nature (Phonandroid)
- Cyberattaque de la FFA (Comité Départemental d'Athlétisme du Nord, relais du communiqué FFA)
- La Fédération française d'athlétisme victime d'une cyberattaque (franceinfo)
- La Fédération française d'athlétisme victime d'une cyberattaque majeure (L'Informaticien)