FFF : vol de données de licenciés

La Fédération Française de Football a signalé en février 2025 un vol de données touchant son système de gestion des licenciés et du personnel administratif. Selon la presse spécialisée, un accès non autorisé a été détecté le 17 février 2025, l’information étant rendue publique à partir du 21 février 2025. La fédération indique avoir réagi en désactivant le compte compromis et en réinitialisant les mots de passe des comptes utilisateurs.

Les données concernées comprennent l’identité (nom, prénom, genre, date et lieu de naissance, nationalité), les coordonnées (adresse postale, e-mail, téléphone) ainsi que des identifiants internes. Pour certaines personnes, la photo et la copie d’un justificatif d’identité auraient été exposées. Les sources concordantes précisent que les données bancaires, les mots de passe et les informations médicales n’étaient pas concernés. L’accès aurait été obtenu via un compte utilisateur compromis, le pirate évoquant l’exploitation d’une API mal configurée.

L’ampleur exacte reste incertaine. La presse évoque environ 1,5 million de personnes potentiellement concernées, tandis que l’auteur de l’attaque revendiquait un volume de lignes nettement supérieur, sans preuve d’une exfiltration intégrale. Aucun chiffre n’a été officiellement confirmé par la FFF pour cet incident précis. Le nombre retenu ici correspond à la borne basse des estimations médiatiques.

La fédération déclare avoir déposé plainte et avoir notifié l’incident à la CNIL et à l’ANSSI, conformément au RGPD. Cet épisode est distinct d’autres incidents affectant la FFF, notamment une fuite antérieure en mars 2024 et une nouvelle attaque en novembre 2025, et ne doit pas être confondu avec ces derniers. Le communiqué officiel de la FFF n’a pas pu être consulté directement (réponse 403), mais son existence est attestée par plusieurs reprises de presse, ce qui justifie un niveau de confiance modéré.