FFRS (Fédération Française de Roller et Skateboard)
Statut : En investigation
Résumé de la Fuite
| Date de la Fuite | Décembre 2024 à janvier 2025 |
|---|---|
| Date de Découverte | 11 février 2025 |
| Type d'information récupérée | Nom, Prénom, Adresse e-mail, Adresse postale complète, Date de naissance, Lieu de naissance, Numéro de téléphone |
| Nombre de Comptes Affectés | ~ 577 061 licenciés. |
| Pays |
🇫🇷 France |
| Gravité | Moyenne |
| Origine de la Fuite | Exploitation d'une vulnérabilité d'un prestataire, Supply Chain Attack |
Vérifiez si votre email a été compromis
Entrez votre adresse e-mail ci-dessous pour savoir si elle a été impliquée dans des fuites de données.
Détails de l'Incident
En janvier 2025, la Fédération Française de Roller et Skateboard a été victime d'une cyberattaque majeure ciblant l'outil de gestion Rolskanet, un système informatique géré par un prestataire externe. Cette attaque s'inscrit dans une vague de piratages coordonnés visant plusieurs fédérations sportives françaises. Un pirate utilisant le pseudonyme "TheFrenchGuy" a réussi à infiltrer les systèmes informatiques via une attaque de la supply chain (attaque indirecte par le biais d'un partenaire professionnel). Les données volées incluent les informations personnelles de 577 061 licenciés (certaines sources mentionnent 570 000 comptes). La fédération a envoyé un message d'alerte initial en janvier 2025, puis un message de rappel le 11 février 2025 pour appeler ses adhérents à la plus grande vigilance, précisant qu'il ne s'agissait pas d'une nouvelle cyberattaque mais d'un rappel concernant l'incident de janvier. Les données compromises ont été vendues sur des forums de cybercriminels tels que BreachForums, représentant une "mine d'or numérique" pour les pirates.
Chronologie de l'incident
- Découverte : 11 février 2025
- Action de Sécurisation : La FFRS et les autres fédérations touchées ont pris les mesures suivantes : notification immédiate de la CNIL (Commission nationale de l'informatique et des libertés) et de l'ANSSI (Agence nationale de la sécurité des systèmes d'information), dépôt de plainte pénale en cours, mise en place de mesures de sécurité renforcées par le prestataire Rolskanet pour mettre fin à l'attaque et protéger les systèmes d'information, information des licenciés par e-mail en janvier 2025 puis rappel le 11 février 2025, recommandation aux licenciés de rester vigilants face aux e-mails, SMS ou appels frauduleux. Bien qu'aucun mot de passe ne soit concerné par la cyberattaque, la FFRS conseille par prudence de modifier le mot de passe permettant d'accéder au compte personnel Rolskanet. En cas de suspicion ou de situation anormale, la fédération recommande de contacter le service officiel d'assistance aux victimes numériques (cybermalveillance.gouv.fr) pour effectuer un signalement.
- Résolution Prévue : Enquête pénale en cours avec risque de 5 ans d'emprisonnement et 150 000 euros d'amende pour l'auteur du délit. Le prestataire Rolskanet a renforcé la sécurité de ses systèmes. Les fédérations continuent de surveiller la situation et d'informer leurs licenciés. Un audit complet du système de gestion Rolskanet est probablement en cours pour identifier et corriger les vulnérabilités exploitées. Les autorités (CNIL, ANSSI, justice) sont mobilisées pour identifier le pirate "TheFrenchGuy" et empêcher de nouvelles diffusions des données.
Impact
| Type de Données | Données personnelles, Données de contact, Informations de localisation |
|---|---|
| Impact Potentiel | Campagnes de phishing et d'hameçonnage ciblées imitant les fédérations sportives. Arnaques au renouvellement de licence anticipant la période de septembre 2025. Spam téléphonique et par e-mail massif. Usurpation d'identité facilitée par la combinaison date/lieu de naissance. Fraudes aux inscriptions sportives pour enfants et adolescents. Revente des données à d'autres cybercriminels. SMS frauduleux demandant des paiements de cotisations. Harcèlement commercial ciblé vers les familles sportives. Risque accru pour les mineurs dont les données ont été exposées. Perte de confiance envers les fédérations sportives et leurs systèmes de gestion. Exploitation des données lors des périodes clés comme la rentrée sportive de septembre. |
| Qui est touché ? | Licenciés de la Fédération Française de Roller et Skateboard. |
Mesures de Protection
- Méfiez-vous des communications suspectes sur le renouvellement de licence : Les pirates vont intensifier leurs arnaques en septembre 2025, période clé de renouvellement des licences sportives. Ne cliquez jamais sur des liens reçus par e-mail ou SMS demandant un paiement de cotisation. Connectez-vous toujours directement sur le site officiel de votre fédération ou contactez votre club en personne.
- Changez votre mot de passe Rolskanet par précaution : Bien que les mots de passe n’aient pas été compromis selon la FFRS, il est recommandé de modifier votre mot de passe d’accès à votre espace personnel Rolskanet avec un mot de passe unique d’au moins 12 caractères combinant majuscules, minuscules, chiffres et symboles.
- Signalez toute tentative de phishing sur cybermalveillance.gouv.fr : Si vous recevez des e-mails, SMS ou appels suspects prétendant provenir de votre fédération sportive ou de votre club, ne répondez pas et signalez immédiatement ces tentatives sur la plateforme officielle cybermalveillance.gouv.fr pour protéger les autres licenciés.
FAQ
- Comment reconnaître une tentative d'arnaque liée à cette fuite de données ? Soyez particulièrement vigilant face aux e-mails, SMS ou appels téléphoniques vous demandant de renouveler votre licence, de payer une cotisation ou de mettre à jour vos informations personnelles. Les pirates possèdent vos vraies coordonnées (nom, prénom, adresse, club) et peuvent créer des messages très convaincants. La FFRS et les clubs ne vous demanderont JAMAIS de payer par lien dans un e-mail ou SMS. Les experts prévoient une intensification des arnaques en septembre 2025, période traditionnelle de renouvellement des licences sportives. En cas de doute, contactez directement votre club ou la fédération par téléphone en utilisant les coordonnées officielles figurant sur leur site web.
- Pourquoi autant de fédérations sportives ont-elles été piratées simultanément ? Il s'agit d'une attaque de la supply chain (chaîne d'approvisionnement). Le pirate "TheFrenchGuy" n'a pas attaqué directement chaque fédération individuellement, mais a ciblé leur prestataire informatique commun : Rolskanet, le système de gestion des licences et des dirigeants utilisé par 8 fédérations sportives françaises. En exploitant une vulnérabilité chez ce prestataire unique, le pirate a pu accéder simultanément aux données de plus de 4,5 millions de licenciés sportifs. Ce type d'attaque est particulièrement efficace car il permet de compromettre plusieurs organisations en une seule opération. Cette situation révèle une vulnérabilité systémique importante dans la gestion des données sportives en France.
- Que faire si je suis licencié d'une fédération touchée et que je reçois un e-mail suspect ? Ne cliquez sur aucun lien et ne téléchargez aucune pièce jointe. Supprimez immédiatement l'e-mail ou le SMS suspect. Si le message prétend provenir de votre fédération ou de votre club et demande un paiement ou des informations personnelles, contactez directement votre club par téléphone pour vérifier l'authenticité de la demande. Signalez systématiquement ces tentatives de phishing sur la plateforme officielle cybermalveillance.gouv.fr en fournissant le maximum de détails (copie du message, numéro de téléphone, adresse e-mail de l'expéditeur). Par prudence, changez votre mot de passe Rolskanet même si les mots de passe n'ont officiellement pas été compromis. Surveillez également vos relevés bancaires pour détecter toute transaction suspecte liée à des paiements de cotisations sportives que vous n'auriez pas autorisés.
À propos de l'auteur
Section Légale et Communication
Pour plus d'informations, contactez-nous via : redaction@funinformatique.com
Avis de non-responsabilité : Les informations partagées sur cette page sont fournies à titre informatif uniquement. L'entreprise décline toute responsabilité pour toute action prise à partir de ces données.