skip to content
Gravité critique confirmée

Le Compte Asso : données bancaires d'associations exfiltrées au ministère des Sports

Le ministère des Sports confirme le 26 juin 2026 l'exfiltration de données du Compte Asso, plateforme des subventions associatives : identités, contacts et coordonnées bancaires complètes (IBAN, BIC).

Organisation
Ministère des Sports, de la Jeunesse et de la Vie associative (plateforme Le Compte Asso)
Secteur
Secteur public
Pays
France
Date des faits
Revendication et mise en vente le 20 juin 2026 sur un forum cybercriminel ; confirmation du ministère par courriel aux utilisateurs le 26 juin 2026. Date d'intrusion non communiquée
Ampleur
227 000 enregistrements revendiqués par le vendeur (mise en vente à 300 dollars) ; le ministère confirme l'exfiltration mais aucun chiffre officiel, et le nombre de personnes uniques reste indéterminé (la plateforme compte plus de 750 000 comptes ouverts). Volume exclu du compteur cumulé faute de confirmation.
Vecteur
Cyberattaque ayant conduit à l'exfiltration de données de l'application de gestion des demandes de subvention Le Compte Asso ; vecteur technique non communiqué
Données exposées
Civilité, nom et prénom, Fonction au sein de l'association, Numéro de téléphone, Adresse e-mail, Coordonnées bancaires complètes (banque, domiciliation, IBAN, BIC)

Le ministère des Sports, de la Jeunesse et de la Vie associative a confirmé fin juin 2026 une exfiltration de données touchant Le Compte Asso, la plateforme de gestion des demandes de subventions des associations. Le 20 juin 2026, un cybercriminel opérant sous le pseudonyme « lestenebreswallah » avait mis en vente sur un forum spécialisé, pour 300 dollars, une base présentée comme contenant 227 000 enregistrements issus des dossiers de demande de subvention. Le 26 juin, le ministère a reconnu l’incident dans un message adressé aux utilisateurs du portail, confirmant que des données saisies dans l’application avaient été exfiltrées puis publiées et mises en vente.

Les échantillons publiés comportent la civilité, le nom, le prénom, la fonction au sein de l’association, le numéro de téléphone et l’adresse e-mail des déclarants, mais surtout des coordonnées bancaires complètes : banque, domiciliation, IBAN et BIC. C’est ce qui distingue cet incident des deux fuites précédentes touchant le même ministère, celle du dispositif Pass’Sport révélée en décembre 2025 (3,5 millions de foyers, sans données bancaires) et celle de la plateforme FORÔMES en février 2026 (450 000 candidats aux formations) : la plateforme visée, la chronologie et la nature des données diffèrent, et il s’agit bien d’un troisième incident distinct.

Le volume de 227 000 enregistrements reste une revendication de l’attaquant, non confirmée officiellement, et peut recouvrir des doublons plutôt que des personnes uniques ; aucun communiqué public dédié n’a été publié sur sports.gouv.fr, la confirmation officielle passant par le message aux utilisateurs, relayé par les trackers spécialisés et la presse. Le ministère indique avoir notifié la CNIL et déposé plainte auprès du parquet de Paris.

La combinaison d’identités de responsables associatifs et de coordonnées bancaires complètes fait peser un risque élevé de fraude au changement de RIB, de faux mandats SEPA et d’hameçonnage ciblé sur les associations subventionnées : toute demande de modification de coordonnées bancaires ou de « régularisation » reçue par une association devrait être vérifiée par un canal indépendant avant action.