Un pirate inconnu affirme vendre la base de données de la FFF

Un cyberpirate anonyme prétend mettre en vente la base de données de la Fédération Française de Football (FFF).

Une potentielle violation de données secoue la Fédération Française de Football (FFF) : un hacker énigmatique revendique la possession de données sensibles appartenant à pas moins de 10 millions de licenciés. Cette révélation doit-elle susciter un vif émoi au sein de la communauté footballistique.

Avec un total de 2 300 855 licences dénombrées pour la saison 2023-2024, en légère hausse par rapport aux 2,215 millions de l’année précédente, la FFF est confrontée à une menace inédite. Un individu se présentant sous le pseudonyme de Chris déclare avoir en main une base de données comprenant une pléthore d’informations sur les joueurs professionnels et amateurs : identités, numéros de licence, adresses électroniques, numéros de téléphone, demandes de transfert ainsi que les ligues et clubs affiliés à chaque licencié.

L’écart significatif entre le nombre de membres officiels et les données revendiquées par le pirate, 10 millions, soulève des interrogations quant à la véracité et la périodicité des données compromises. Cela tendrait à dire que la base de données comporte aussi des personnes qui ne seraient plus licenciées.

L’annonce de la vente de ces informations sur la plateforme de messagerie Telegram et dans un forum web connu pour ses ventes de vraies et fausses données ajoute à la complexité de la situation, oscillant entre la menace d’une fuite d’informations massive et une possible supercherie. Notamment, l’absence de noms de footballeurs de renom dans les extraits publiés par le cybercriminel – tels que des joueurs affiliés au Paris Saint-Germain, à l’Olympique de Marseille ou à l’équipe nationale – laisse planer le doute sur l’authenticité et la portée réelle de cette prétendue fuite. Le pirate veut vendre les données ; il aurait pu être plus agressif dans sa commercialisation, comme le font d’autres pirates informatiques.

Une fuite étonnante, mais qui n’étonne pas. En 2023, ZATAZ avait alerté la FFF suite à la découverte d’une vulnérabilité au sein d’une de ses API, permettant l’accès non autorisé à diverses données incluant matchs, clubs, arbitres et certaines informations personnelles. La réaction prompte de la FFF avait alors permis de contenir la brèche.

L’année dernière, ZATAZ vous avait expliqué comment le Service Veille avait découvert la diffusion de la base de données des touristes étrangers partis sur le territoire Russe lors de la coupe du monde de football de 2018.