Cyberattaque au ministère des Sports : 3,5 millions de foyers piratés

3,5 millions de foyers français découvrent ce vendredi 19 décembre que leurs données personnelles ont été dérobées lors d’une cyberattaque visant le ministère des Sports. Dans un communiqué publié en milieu de journée, l’institution confirme avoir « pris connaissance d’une exfiltration de données issue de l’un de ses systèmes d’information ». Cette attaque frappe de plein fouet les familles modestes bénéficiaires du Pass Sport, dispositif institué en 2021 pour faciliter l’inscription des enfants dans les clubs sportifs.

Une faille révélée par la presse, confirmée par le gouvernement

L’affaire éclate réellement jeudi soir, lorsque Libération évoque une fuite de données affectant des millions de personnes éligibles au Pass Sport. Le site Les Numériques avance alors le chiffre de 3,5 millions de foyers touchés, une estimation que le ministère confirmera officiellement le lendemain. Selon le quotidien, le fichier obtenu par l’auteur de l’attaque contient des informations personnelles sensibles : identité, adresse, mail, numéro de téléphone des jeunes ou de leurs parents figurant dans la base.

Le ministère tente de rassurer en précisant qu’« il ne s’agit pas de données bancaires ou de mots de passe », mais plutôt de données d’identité comme « des noms, prénoms ou adresses email ». Une précision qui peine à masquer l’ampleur du désastre : ces informations représentent une mine d’or pour les cybercriminels spécialisés dans le phishing et les arnaques ciblées visant des familles vulnérables.

Dumpsec revendique une attaque datant du 3 novembre

Le voile se lève progressivement sur l’identité des auteurs. Selon Clubic et le hacker éthique Clément Domingo, le vrai piratage vise associations.gouv.fr, une plateforme dédiée aux associations sous tutelle du ministère des Sports. L’attaque daterait en réalité du 3 novembre 2025 et porterait la signature de Dumpsec, un groupe habitué de ce type d’opérations.

Le mode opératoire révélé par Dumpsec témoigne d’une sophistication inquiétante. Les cybercriminels se sont fait passer pour une association légitime, ont détecté une faille de sécurité dans le système, puis ont aspiré 22 millions d’enregistrements en une seule soirée. Une transparence qui témoigne de leur sentiment d’impunité face à des institutions visiblement dépassées.

« Dès la détection de l’incident, les équipes techniques spécialisées du ministère ont été mobilisées afin de vérifier la nature et l’ampleur des données concernées, et de mettre en œuvre les mesures de sécurité adaptées pour faire cesser toute fuite de données », selon le communiqué officiel du ministère.

Six semaines de silence et une manipulation médiatique

La question la plus embarrassante pour l’exécutif reste celle du délai : pourquoi cette vérité éclate-t-elle seulement maintenant, six semaines après les faits du 3 novembre ? Selon les experts en cybersécurité, Dumpsec n’a pas supporté qu’un affabulateur s’attribue son travail et menace de « casser le business ». Le groupe a donc balancé les preuves pour rétablir sa paternité sur le piratage, déclenchant involontairement la révélation publique du désastre.

Entre-temps, une manipulation d’envergure a fait croire pendant plus de vingt-quatre heures que la Caisse d’allocations familiales avait été piratée, avec 22 millions de données dans la nature. Un cybercriminel français avait revendiqué l’exploit en voulant paraître crédible. Cette CAF piratée n’était en réalité que du « pur storytelling criminel », une guerre d’ego entre criminels qui a brouillé les pistes et retardé la compréhension de la véritable attaque.

La France dans le viseur des cybercriminels

Cette cyberattaque s’inscrit dans une série noire pour les institutions françaises. Le ministère de l’Intérieur a été victime dans la nuit du 11 au 12 décembre d’une attaque informatique qui a permis à un ou plusieurs hackers de consulter des données sensibles issues des fichiers de police. Un suspect de 22 ans a été interpellé près de Limoges et placé en garde à vue dans cette affaire.

Le secteur privé n’est pas épargné. Cette même semaine, SFR a annoncé avoir lui aussi fait l’objet d’un piratage avec le vol de données de ses clients. Une accumulation qui témoigne d’une vulnérabilité systémique des infrastructures numériques françaises, publiques comme privées.

« Un dépôt de plainte sera effectué auprès des autorités compétentes et la Commission nationale de l’informatique et des libertés sera saisie dans les 72 heures conformément aux obligations réglementaires », promet le ministère des Sports dans son communiqué.

Des familles vulnérables exposées aux arnaques

Les 3,5 millions de foyers concernés seront informés « dans les meilleurs délais » et recevront des « recommandations et consignes de sécurité à suivre ». Mais le mal est fait : ces données personnelles circulent déjà dans les forums clandestins du darkweb, où elles peuvent être exploitées pour des campagnes de phishing ciblées.

Le profil des victimes aggrave la situation. Les bénéficiaires du Pass Sport sont par définition des familles modestes, souvent moins sensibilisées aux risques cyber et plus vulnérables aux arnaques sophistiquées. Les experts recommandent de faire attention aux futurs appels, SMS et e-mails reçus, qui pourraient contenir des arnaques dans le lot. Les cybercriminels disposent désormais de suffisamment d’informations pour créer des messages personnalisés extrêmement convaincants.

Au-delà des risques immédiats de fraude, cette cyberattaque soulève des questions fondamentales sur la capacité de l’État à protéger les données de ses citoyens. Comment des plateformes gouvernementales peuvent-elles présenter des failles aussi béantes ? Pourquoi faut-il attendre six semaines et une guerre d’ego entre hackers pour que la vérité éclate ? Et surtout, combien d’autres systèmes d’information publics sont-ils actuellement compromis sans que personne ne le sache ? La réponse à ces questions déterminera la confiance des Français dans la transformation numérique de leurs services publics.