Une fuite de données attribuée à Association.fr, site d’information consacré au secteur associatif français et édité par HelloAsso, a été revendiquée sur un forum cybercriminel le 9 juillet 2026.
Le dépôt présenté comme la base du site concernerait environ 160 000 responsables d’associations, notamment des présidents, trésoriers, secrétaires et autres dirigeants. Les données revendiquées incluraient des coordonnées personnelles et professionnelles, mais aussi des IBAN et BIC rattachés à certaines structures.

Des dizaines de milliers d’associations potentiellement concernées
Les informations diffusées évoquent plusieurs dizaines de milliers d’associations françaises, principalement actives dans les domaines du sport, de l’éducation, de la culture ou de la vie locale.
La base semble permettre de relier chaque responsable à son organisation, à sa fonction et à différents moyens de contact. Ce regroupement peut donner une vision détaillée du fonctionnement de nombreuses structures associatives.
Identités, coordonnées et fonctions exposées
Les données potentiellement concernées comprennent notamment :
- nom complet ;
- prénom et nom ;
- civilité ;
- adresse postale ;
- numéro de téléphone ;
- adresse email ;
- fonction exercée dans l’association ;
- informations professionnelles ;
- adresses de sites internet ;
- IBAN ;
- BIC ;
- coordonnées bancaires liées aux structures.
Aucun mot de passe n’est mentionné dans les informations communiquées. La présence potentielle de coordonnées bancaires rend toutefois cette revendication particulièrement sensible.
Les trésoriers et présidents particulièrement exposés
Les dirigeants associatifs occupent souvent des fonctions leur permettant de valider des dépenses, gérer des subventions ou administrer les comptes bancaires de leur structure. La connaissance de leur identité, de leur rôle et des coordonnées de l’association peut faciliter des fraudes très ciblées.
Un cybercriminel pourrait par exemple se faire passer pour un partenaire, un fournisseur, une collectivité ou un autre membre du bureau afin de demander un paiement, un changement de RIB ou la validation urgente d’une opération.
Des IBAN exploitables dans des fraudes ciblées
Un IBAN ne permet pas, à lui seul, de retirer directement de l’argent sur un compte. Mais lorsqu’il est associé au nom d’une association, à ses dirigeants, à leurs coordonnées et à leur fonction, il peut être utilisé pour construire des scénarios de fraude plus crédibles.
Les risques concernent notamment les fausses demandes de changement de coordonnées bancaires, l’usurpation d’identité d’une association, les faux appels aux dons ou les tentatives de prélèvement frauduleux.
Un risque élevé de phishing contre les associations
Le principal risque reste le phishing ciblé. Les attaquants peuvent utiliser le nom de l’association, la fonction du destinataire et ses coordonnées pour envoyer des messages particulièrement crédibles.
Les scénarios possibles incluent :
- fausse demande de subvention ;
- faux message de banque ;
- fausse facture ;
- faux changement de RIB ;
- fausse mise à jour administrative ;
- faux renouvellement d’adhésion ;
- faux appel aux dons ;
- usurpation d’un président ou d’un trésorier.
Une fuite à confirmer officiellement
À ce stade, le volume exact, l’origine technique de l’extraction et la validité de l’ensemble des données restent à confirmer. Aucune communication officielle de l’éditeur n’a été identifiée au moment de la revendication.
Si les éléments publiés sont confirmés, l’incident serait important pour le secteur associatif français : environ 160 000 responsables pourraient être exposés, avec des informations suffisamment détaillées pour alimenter des campagnes de fraude, d’usurpation et de phishing ciblé.