Attaque

284 461 membres de la Fédération Française de Bridge diffusés après une faille de sécurité

Une importante fuite de données attribuée à FFBridge, le site de la Fédération Française de Bridge, a été revendiquée sur un forum cybercriminel le 1er juillet 2026. L’auteur de la publication affirme avoir récupéré les données de 284 461 utilisateurs.

La base revendiquée concerne des membres, licenciés ou anciens licenciés, avec un volume important d’informations personnelles, sportives et administratives. À ce stade, cette fuite reste une revendication non confirmée officiellement.

Fédération Française de Bridge cyberattaque

FFBridge visé par une revendication massive

La publication est signée par l’acteur misere, déjà impliqué dans plusieurs revendications récentes. Le fichier présenté, nommé ffb_members.csv, contient des champs très détaillés associés aux profils des membres de la Fédération Française de Bridge.

Le volume annoncé, 284 461 personnes, en fait une fuite d’ampleur importante pour une fédération sportive. Les données ne semblent pas se limiter à un simple annuaire : elles associent identité, coordonnées, licence, club, comité, statut de compte, saison sportive et informations de classement.

Une faille IDOR revendiquée

L’auteur affirme avoir exploité une faille de type IDOR, c’est-à-dire un accès direct non autorisé à des ressources en modifiant des identifiants numériques. Selon la revendication, l’attaque aurait été rendue possible par des identifiants séquentiels, l’absence de privilège particulier nécessaire et l’absence de limitation de débit.

Si ce scénario est exact, il suggère qu’un compte sans privilège spécial aurait pu consulter ou extraire progressivement un grand nombre de fiches utilisateurs simplement en parcourant des identifiants successifs.

284 461 profils potentiellement exposés

Les champs revendiqués montrent une base très riche. Les données concernées peuvent inclure :

  • identifiant de personne ;
  • nom et prénom ;
  • genre ;
  • date de naissance ;
  • adresse email ;
  • numéros de téléphone ;
  • adresse postale ;
  • ville, code postal et pays ;
  • numéro de licence ;
  • date de première licence ;
  • comité de rattachement ;
  • club ou dernière organisation connue ;
  • saison sportive ;
  • type et statut de licence ;
  • classement, points et indicateurs sportifs ;
  • pseudonymes BBO ou Funbridge ;
  • identifiants de compte ;
  • nom d’utilisateur ;
  • statut de vérification email ;
  • dernière connexion ;
  • statuts de compte : activé, verrouillé ou suspendu ;
  • présence ou non d’une licence valide.

Aucun mot de passe n’apparaît dans les champs cités par la revendication. En revanche, la combinaison des données personnelles, sportives et de compte rend le fichier fortement exploitable pour des campagnes ciblées.

Des données sportives et personnelles regroupées

La sensibilité de cette fuite vient du croisement des informations. Une fiche peut associer l’identité d’un membre à son adresse email, sa date de naissance, sa licence, son club, son comité, son classement, son historique de saison et certains indicateurs de compte.

Même lorsque certaines informations peuvent être publiques individuellement dans un contexte sportif ou associatif, leur extraction massive dans un fichier unique change l’échelle du risque. Une base structurée de plusieurs centaines de milliers de membres peut être réutilisée, enrichie ou croisée avec d’autres fuites.

Quels risques pour les membres de la Fédération Française de Bridge ?

Le principal risque concerne le phishing ciblé. Des cybercriminels peuvent utiliser le nom de la fédération, le numéro de licence, le club, la saison sportive ou le classement pour construire de faux messages très crédibles : renouvellement de licence, problème de compte, paiement, mise à jour de coordonnées ou accès à un service en ligne.

Les données peuvent également faciliter l’usurpation d’identité, le démarchage frauduleux, le harcèlement ciblé ou des tentatives de prise de contact auprès de membres âgés, parfois plus vulnérables face aux escroqueries numériques.

Une fuite à confirmer officiellement

À ce stade, la Fédération Française de Bridge n’a pas confirmé publiquement cette revendication. Le nombre exact de personnes concernées, l’origine technique de l’exposition et la période couverte par la base restent donc à établir.

Si les éléments revendiqués sont exacts, cette affaire illustrerait une nouvelle fois les risques liés aux failles IDOR dans les espaces membres. Une mauvaise vérification des droits d’accès peut suffire à exposer massivement des profils utilisateurs, même sans compromission complète du serveur ou vol de mots de passe.

Thomas Lazzaroni Thomas Lazzaroni
Articles similaires