Attaque

Fédération Française Handisport : près de 60 000 licenciés exposés après une cyberattaque

Une fuite de données attribuée à la Fédération Française Handisport a été revendiquée sur un forum cybercriminel le 9 juillet 2026. L’auteur affirme diffuser une base contenant 59 932 enregistrements issus de l’écosystème handisport.org et de son extranet.

Les données revendiquées concernent des licenciés, utilisateurs, clubs, structures, affiliations et disciplines sportives. Plusieurs champs touchent également à l’identité, aux relations familiales, aux contrôles d’honorabilité, à l’assurance et à la gestion administrative des licences. À ce stade, il s’agit d’une revendication non confirmée officiellement.

Fédération Française Handisport cyberattaque

59 932 fiches issues de l’écosystème Handisport

La publication est signée par l’acteur Saturne. La base serait datée de juillet 2026 et diffusée gratuitement. Les champs publiés montrent un export particulièrement large, qui ne se limite pas à une simple liste de noms ou d’adresses email.

Les enregistrements semblent relier les profils utilisateurs à leurs licences, disciplines, clubs, structures départementales ou régionales, options d’assurance, statuts administratifs et historiques de validation.

Identité, coordonnées et informations familiales

Les informations personnelles potentiellement exposées comprennent notamment :

  • nom et prénom ;
  • nom de naissance ;
  • sexe ;
  • date et lieu de naissance ;
  • pays ou département de naissance ;
  • adresse email ;
  • numéros de téléphone fixe et mobile ;
  • photo de profil ;
  • nom et prénom du père ;
  • nom et prénom de la mère ;
  • identifiants internes ;
  • date de dernière connexion ;
  • statut du compte.

Certains champs concernent aussi la représentation d’un utilisateur par un parent ou un tiers, ce qui peut indiquer la présence de mineurs ou de personnes accompagnées dans la base.

Licences, disciplines et clubs associés

Les données revendiquées permettent également de relier les personnes à leur activité sportive. Les fiches peuvent contenir un numéro de licence, une saison, un statut, une discipline, un club, une structure de rattachement et les différentes étapes de validation du dossier.

  • numéro et type de licence ;
  • saison sportive ;
  • statut de la licence ;
  • renouvellement ;
  • discipline pratiquée ;
  • fonction au sein d’une structure ;
  • club et structures de rattachement ;
  • statut d’affiliation ;
  • dates de création, soumission et validation ;
  • motif de suspension ou de refus lorsque renseigné ;
  • mutations ;
  • engagements et options associés.

La combinaison entre identité, club, discipline et licence permet de dresser une cartographie détaillée du réseau handisport français.

Des données particulièrement sensibles dans le contexte du handicap

Le contexte de cette fuite augmente fortement sa sensibilité. L’appartenance à une fédération handisport, certaines disciplines pratiquées ou des champs liés à l’accompagnement peuvent permettre d’inférer des informations concernant la situation de handicap d’une personne.

La base mentionne notamment des champs relatifs au besoin d’une tierce personne, aux liens avec des établissements médico-sociaux, au contexte ESMS ou encore à certaines situations administratives. Leur contenu réel peut varier, mais leur présence montre que l’environnement traite des informations dépassant largement le cadre d’un simple annuaire sportif.

Contrôles d’identité et d’honorabilité dans la base

Les champs publiés comportent aussi plusieurs informations liées aux contrôles administratifs :

  • étape de vérification d’identité ;
  • commentaire de contrôle d’identité ;
  • mode et nombre de vérifications ;
  • date et auteur de la vérification ;
  • contrôle d’honorabilité ;
  • commentaires liés au contrôle ;
  • statut de blocage ou de suspension ;
  • motif de blocage ou de suppression.

La revendication ne permet pas d’affirmer que tous ces champs sont renseignés pour chaque utilisateur. Leur présence dans la structure de la base révèle néanmoins le niveau de détail de l’outil de gestion fédérale.

Des informations financières et d’assurance

Les données comprennent aussi des éléments liés aux tarifs des licences, aux options d’assurance et aux moyens de paiement. Les champs mentionnent notamment des montants, réductions, taxes, options d’accident individuel ainsi que des références techniques liées à Stripe.

Certains champs peuvent contenir le type de moyen de paiement et les quatre derniers chiffres associés. Aucune donnée bancaire complète n’apparaît toutefois dans les éléments publiés.

Un accès potentiellement plus large qu’une simple extraction

L’échantillon diffusé contient des données créées ou modifiées le jour même de la revendication. Certaines valeurs associées à une structure apparaissent manifestement anormales et semblent faire référence au forum utilisé par l’auteur.

Si ces éléments sont authentiques, ils pourraient suggérer que l’attaquant ne disposait pas seulement d’un accès en lecture, mais aussi de capacités de création ou de modification dans l’extranet. Cette hypothèse doit toutefois être confirmée par une analyse technique officielle.

Quels risques pour les licenciés ?

Le principal risque concerne le phishing ciblé. Un attaquant peut utiliser un vrai numéro de licence, le nom d’un club, une discipline ou un statut d’affiliation pour envoyer un message frauduleux particulièrement crédible.

Les scénarios possibles incluent :

  • faux renouvellement de licence ;
  • fausse demande de paiement ;
  • faux document d’assurance ;
  • fausse vérification d’identité ;
  • faux message envoyé au nom d’un club ;
  • fausse notification de suspension ;
  • tentative de récupération d’identifiants ;
  • usurpation d’identité sportive ou administrative.

La présence de données familiales et d’informations liées à l’accompagnement peut également exposer certaines personnes à du harcèlement, du doxing ou des discriminations.

Les clubs et structures également exposés

La base revendiquée contient de nombreuses informations sur les clubs et organismes : nom, statut juridique, coordonnées, sites internet, réseaux sociaux, responsables, rattachements régionaux et départementaux, numéros administratifs ou statut d’organisme de formation.

Ces données peuvent faciliter des attaques contre les dirigeants et bénévoles : fausse facture, faux message fédéral, changement frauduleux de coordonnées bancaires ou demande urgente prétendant provenir de la Fédération Française Handisport.

Une fuite à confirmer officiellement

Le nombre exact de personnes uniques, l’origine technique de l’extraction et le niveau réel d’accès obtenu restent à confirmer. Les 59 932 enregistrements peuvent inclure des licences historiques, des renouvellements, des doublons ou plusieurs saisons pour une même personne.

Si la revendication est confirmée, l’incident serait particulièrement sensible pour la Fédération Française Handisport. Il associerait données d’identité, coordonnées, informations familiales, licences, clubs, disciplines, contrôles administratifs et éléments liés à l’assurance ou au paiement.

Que doivent surveiller les personnes concernées ?

Les licenciés, familles, clubs et responsables doivent se montrer vigilants face aux emails, SMS ou appels évoquant une licence, une affiliation, une assurance, une vérification d’identité, un paiement ou une mise à jour de dossier.

Toute demande inhabituelle doit être vérifiée directement auprès du club ou de la Fédération via un canal officiel déjà connu. Le fait qu’un message mentionne une vraie discipline, un vrai numéro de licence ou une véritable structure ne suffit pas à garantir son authenticité.

Thomas Lazzaroni Thomas Lazzaroni
Articles similaires