Pour une fois c’est pas la faute du stagiaire de 3e !
Après une année 2024 noire sur les fuites de données, 2025 débute sur les chapeaux de roues avec des données personnelles de licenciés de plusieurs fédérations françaises dans la nature. Un prestataire est pointé du doigt par certains. Nous l’avons identifié et il nous confirme avoir été la cible d’une cyberattaque. Nous avons également contacté le pirate qui nous confirme lui aussi la provenance des données et nous explique son attaque.
Dans la soirée de mercredi à jeudi, un lecteur nous a signalé un email envoyé par la Fédération Française de Tir à l’Arc avec comme titre : « Information d’incident données personnelles ». La suite, on la devine sans difficulté : il s’agit d’une fuite de données personnelles.
La Fédération Française de Tir à l’Arc prévient ses utilisateurs
Dans le cas présent, les données dérobées par le pirate sont les nom et prénom, sexe, date de naissance, adresse postale, téléphone, e-mail et photo de profil. On apprécie d’ailleurs que la Fédération publie également un communiqué sur son site, reprenant les informations de l’email. Cela permet à tout un chacun d’être informé, mais aussi aux personnes concernées de confirmer qu’il ne s’agit pas d’un faux email.
Mots de passe chiffrés… est-ce suffisant ?
La fédération se veut rassurante : « Nous tenons à vous rassurer sur le fait que les mots de passe liés aux espaces licenciés et dirigeants étaient chiffrés et n’ont pas été compromis. Toutefois, par mesure de précaution, une réinitialisation des accès à ces espaces sera prochainement mise en place ».
Le message ne précise pas exactement de quel chiffrement on parle. Les règles de la CNIL sont claires et le chiffrement seul n’est pas suffisant : « Les mots de passe ne doivent jamais être stockés en clair. Lorsque l’authentification a lieu sur un serveur distant, et dans les autres cas si cela est techniquement faisable, le mot de passe doit être transformé au moyen d’une fonction cryptographique non réversible et sûre, intégrant l’utilisation d’un sel ou d’une clé ».
La Fédération Française de Tir à l’Arc affirme que « l’origine du piratage a été identifiée et verrouillée et le fichier malveillant neutralisé ». Elle a « procédé à une déclaration de cet incident auprès de la CNIL, conformément à la réglementation en vigueur, et au dépôt d’une plainte ».
Une faille chez un prestataire
Mais la Fédération donne surtout une précision importante dans son communiqué : la fuite de données a pour origine un partenaire externe. Elle évoque ainsi « l’exploitation d’une faille de sécurité chez notre prestataire en charge des espaces licences et dirigeants pour le compte de plusieurs fédérations sportives ».