Ce 26 juin 2026, le ministère des Sports, de la Jeunesse et de la Vie associative a informé par email les utilisateurs du portail Le Compte Asso d’un incident de sécurité ayant conduit à l’exfiltration de données issues de l’application de gestion des subventions. Selon le ministère, certaines informations ont été publiées puis mises en vente sur un forum cybercriminel après une cyberattaque.
Une revendication publiée quelques jours plus tôt
Cette notification intervient quelques jours après une revendication apparue le 20 juin 2026 visant asso.gouv.fr. Un cybercriminel utilisant le pseudonyme lestenebreswallah proposait alors à la vente une base de données présentée comme contenant 227 000 enregistrements.
La revendication décrivait une base regroupant des informations administratives et bancaires associées aux dossiers de demande de subvention déposés via la plateforme.
Le ministère confirme plusieurs catégories de données
Dans son courrier adressé aux associations concernées, le ministère confirme qu’un cyberattaquant a pu accéder à des données saisies dans l’application de gestion des subventions. Les informations concernées comprennent notamment :
- nom ;
- rôle au sein de l’association ;
- adresse e-mail ;
- numéro de téléphone ;
- nom de la banque ;
- domiciliation bancaire ;
- IBAN ;
- BIC ;
- coordonnées bancaires de l’association ;
- informations liées aux demandes de subvention.
Le ministère précise que les coordonnées bancaires concernent les informations communiquées par les associations lors du dépôt de leurs dossiers de demande de financement.
Le nombre exact de victimes n’est pas encore connu
À ce stade, les autorités ne communiquent pas le nombre précis d’associations ou de personnes concernées par cette fuite. Seule la revendication publiée sur le forum cybercriminel évoquait un volume pouvant atteindre 227 000 enregistrements, sans qu’il soit possible de confirmer qu’il correspond au nombre réel de victimes.
Des risques de fraude ciblant les associations
La présence simultanée des coordonnées des responsables associatifs et des informations bancaires augmente le risque de campagnes de phishing particulièrement crédibles, de tentatives de fraude au changement d’IBAN ou encore d’usurpation d’identité visant les associations bénéficiant de subventions publiques.
Une plainte déposée et la CNIL informée
Le ministère indique avoir procédé à une notification auprès de la CNIL et avoir déposé plainte auprès du parquet de Paris. L’enquête devra désormais déterminer l’origine exacte de la compromission, son périmètre ainsi que le volume réel de données exfiltrées.