Un hacker utilisant le pseudonyme misere revendique l’accès à une base de données attribuée à Sportpolice.fr, la plateforme de la Fédération Sportive de la Police Nationale (FSPN).
La publication évoque 224 076 enregistrements. Toutefois, après recoupement des données disponibles, le nombre réel de personnes concernées est de 71 304 licenciés et adhérents, plusieurs enregistrements correspondant à différentes années de licence ou à des renouvellements.
La Fédération Sportive de la Police Nationale concernée
La Fédération Sportive de la Police Nationale regroupe les activités sportives des policiers, personnels administratifs et agents du ministère de l’Intérieur. Elle organise de nombreuses compétitions et délivre des licences permettant la pratique de disciplines variées telles que le football, le rugby, le tir sportif, la musculation, les sports de combat ou encore les activités de plein air.
Les informations revendiquées semblent provenir du système de gestion des licences et des adhésions utilisé par la fédération.
Des données professionnelles et sportives particulièrement sensibles
Les échantillons publiés contiennent de nombreuses informations personnelles associées à des membres de la Police nationale.
- nom et prénom ;
- date de naissance ;
- grade ou fonction ;
- matricule ;
- numéro de licence ;
- type de licence ;
- dates de validité ;
- service d’affectation ;
- sports pratiqués ;
- informations liées aux certificats médicaux ;
- données d’assurance ;
- historique administratif associé aux licences.
Les exemples diffusés mentionnent notamment des grades tels que gardien de la paix ou brigadier-chef ainsi que des informations relatives à la pratique sportive et à l’aptitude médicale à la compétition.
Une vulnérabilité de type IDOR revendiquée
L’auteur de la publication affirme avoir exploité une vulnérabilité de type IDOR (Insecure Direct Object Reference). Selon ses déclarations, les identifiants des licenciés auraient été simplement masqués par un hachage MD5 sans empêcher l’accès aux données sous-jacentes.
Si cette affirmation était confirmée, un utilisateur non autorisé aurait potentiellement pu récupérer des fiches individuelles en parcourant séquentiellement les identifiants présents dans l’application.
Pourquoi cette fuite est particulièrement sensible
Contrairement à de nombreuses fuites touchant des clients ou des prospects, cette base concerne des personnels des forces de l’ordre. La combinaison du nom, du grade, du matricule, de l’activité sportive pratiquée et parfois du service de rattachement peut permettre d’identifier précisément certains agents.
Ces informations peuvent être exploitées pour des opérations d’ingénierie sociale, des tentatives d’usurpation d’identité ou des campagnes de phishing ciblées visant des policiers ou des structures liées au ministère de l’Intérieur.
Des données couvrant plusieurs années
Les exemples publiés montrent des licences remontant à plusieurs années ainsi que des certificats médicaux délivrés récemment. La présence d’enregistrements historiques explique en partie l’écart entre les 224 076 lignes revendiquées et le 71 304 policiers distincts concernés.
Au moment de la publication, aucune communication officielle de la Fédération Sportive de la Police Nationale ou du ministère de l’Intérieur concernant cette revendication n’avait été identifiée. L’authenticité, l’étendue exacte des données et les circonstances de leur extraction restent à confirmer.