Fédération Sportive de la Police Nationale : licenciés et certificats médicaux exposés
La FSPN confirme une cyberattaque sur son logiciel de gestion des licenciés (19-20 juin 2026) : identités, grades, matricules et certificats médicaux de policiers publiés sur un forum cybercriminel.
- Organisation
- Fédération Sportive de la Police Nationale (FSPN)
- Secteur
- Sport / Associations
- Pays
- France
- Date des faits
- Intrusion entre le 19 et le 20 juin 2026 ; révélation publique le 21 juin 2026 ; communiqué de la FSPN à ses adhérents, plainte et saisine de la CNIL dans les jours suivants
- Ampleur
- 224 076 enregistrements revendiqués par l'attaquant sur 14 ans de données (2012-2026), ramenés à environ 71 304 personnes uniques après déduplication selon l'analyse de Cyberattaque.org ; aucun chiffre officiellement confirmé par la FSPN
- Vecteur
- Accès non autorisé au logiciel de gestion des licenciés (plateforme Sportpolice.fr). L'attaquant revendique une vulnérabilité de type IDOR avec des identifiants protégés par un simple hachage MD5, vecteur non confirmé officiellement
- Données exposées
- Identité (nom, prénom, sexe, date de naissance), Grade et matricule, Service d'affectation, Adresses postales, Adresses e-mail, Numéros de téléphone, Certificats médicaux (données de santé, environ 180 000 revendiqués), Licences sportives (environ 380 000) et convocations (plus d'un million)
La Fédération Sportive de la Police Nationale (FSPN) a été victime d’une cyberattaque entre le 19 et le 20 juin 2026, via un accès non autorisé à son logiciel de gestion des licenciés (plateforme Sportpolice.fr). La base dérobée, couvrant environ quatorze années de données (2012 à 2026), a été publiée sur un forum cybercriminel et revendiquée par l’acteur « Misère », déjà à l’origine de la compromission de la messagerie de l’État Tchap au début du mois. La fuite a été révélée publiquement le 21 juin 2026, puis largement reprise par la presse spécialisée.
L’attaquant revendique 224 076 enregistrements, un chiffre repris tel quel par plusieurs médias ; l’analyse de Cyberattaque.org le ramène toutefois à environ 71 304 licenciés et adhérents uniques après déduplication, plusieurs lignes correspondant à des renouvellements de licence. Le jeu de données contiendrait les identités complètes (nom, prénom, sexe, date de naissance), les grades, matricules et services d’affectation des fonctionnaires, leurs coordonnées (adresses postales, e-mails, téléphones), ainsi qu’environ 180 000 certificats médicaux, 380 000 licences sportives et plus d’un million de convocations. Le vecteur revendiqué, une vulnérabilité de type IDOR avec des identifiants protégés par un simple hachage MD5, n’a pas été confirmé officiellement.
La FSPN a reconnu l’incident dans un communiqué adressé à ses adhérents, indiquant qu’une de ses bases de données « a pu faire l’objet d’une cyberattaque », et les a appelés à la vigilance face aux courriels frauduleux. Elle a déposé plainte puis, selon le suivi post-incident, saisi la CNIL et indiqué que l’incident était contenu ; aucun chiffre officiel de personnes concernées n’a été communiqué, et l’authenticité complète du jeu de données n’a pas été vérifiée de façon indépendante.
La sensibilité de cette fuite tient autant aux données de santé (certificats médicaux) qu’à la population exposée : des policiers et leurs proches, identifiables par nom, matricule, grade et service d’affectation, ce qui crée un risque réel de ciblage individuel, d’intimidation ou d’ingénierie sociale visant les services concernés, au-delà du classique hameçonnage.
Sources
- La fédération sportive de la Police Nationale enquête sur une fuite de données (Le Monde Informatique)
- La Fédération sportive de la Police nationale confrontée à une fuite de données massive (Blog FrenchBreaches)
- Fédération Sportive de la Police Nationale : les données de plus de 70 000 policiers en fuite (Cyberattaque.org)
- La Fédération sportive de la police nationale victime d'une cyberattaque, plus de 224 000 personnes concernées (Actu17)