FFME : fuite de données des licenciés

La Fédération française de la montagne et de l’escalade (FFME) a été victime début janvier 2025 d’une cyberattaque ayant entraîné l’extraction de données personnelles de ses licenciés et de ses structures affiliées. Dans un communiqué relayé le 23 janvier 2025, la fédération a indiqué avoir informé la CNIL de cette violation et déposé plainte auprès des autorités compétentes. Les données concernées comprennent les nom et prénom, l’adresse postale, l’adresse électronique, un identifiant, la date de naissance et le numéro de téléphone. La FFME précise qu’aucune donnée bancaire ni aucun mot de passe n’ont été compromis.

Selon les éléments rapportés par la presse spécialisée, l’attaque aurait exploité une faille de téléversement de fichiers, un licencié pouvant déposer un fichier de n’importe quel type sans filtrage côté serveur, le code étant ensuite exécuté côté serveur et ouvrant un accès à la base de données. Contrairement à la plupart des autres fédérations touchées à la même période, la FFME n’utilisait pas la plateforme de licences du prestataire mis en cause dans les attaques voisines, ce qui en fait un vecteur distinct mais comparable.

Le nombre exact de personnes affectées n’a pas été communiqué officiellement. À titre de repère, la fédération recense environ 120 000 licenciés. Le chiffre de plusieurs centaines de milliers de comptes parfois associé à la FFME par des agrégateurs paraît relever d’une erreur d’attribution avec une autre fédération, et n’est donc pas retenu ici.

Cet épisode s’inscrit dans une vague plus large de cyberattaques ayant visé de nombreuses fédérations sportives françaises au cours de l’hiver 2024-2025, avec revente de données sur des forums cybercriminels. Les sources concordent sur les risques principaux pour les personnes concernées, à savoir l’hameçonnage, les tentatives de fraude et l’usurpation d’identité, et la FFME a appelé ses licenciés à une vigilance renforcée.