Fuite de données chez DoinSport : 12 000 profils de joueurs exposés, le pirate revendique 800 000
Une fuite revendiquée sur un forum underground touche des milliers de profils sur la plateforme française de gestion de clubs
Un acteur underground publie des données de joueurs de padel et tennis inscrits sur DoinSport. Noms, emails, téléphones, adresses. 12 000 profils circulent, le pirate affirme en détenir 800 000.
- 12 000 profils de joueurs de padel et tennis exposés, le pirate prétend détenir 800 000 personnes
- Données incluent noms, emails, téléphones, adresses postales, dates de naissance
- DoinSport équipe plus de 1 000 clubs en France, aucun communiqué officiel identifié à ce jour
- Le sport français enchaîne les fuites depuis décembre 2025 Ministère, FFT, FFBB, FSPN, UNSS, FFF
- 84 % des organisations sportives ont subi un incident cyber en 12 mois, 116 000 emails de phishing détectés
Sur un forum underground, un acteur publie un échantillon. Noms, emails, téléphones, adresses postales, dates de naissance. La cible: DoinSport, plateforme de gestion pour clubs de padel et tennis, implantée dans plus de 1 000 clubs en France. Le pirate affirme détenir une base de 800 000 personnes. Pour l’instant, 12 000 profils circulent.
Les données publiées incluent noms, adresses email, numéros de téléphone, dates de naissance, adresses postales et informations liées aux comptes utilisateurs. Aucune donnée bancaire ou mot de passe n’a été évoquée dans les échantillons diffusés.
Le gouffre entre revendication et réalité
Le pirate prétend détenir 800 000 personnes. Seuls 12 000 profils ont été diffusés à ce jour. L’écart est vertigineux: 98,5 % de la base revendiquée reste invisible. Trois scénarios possibles. Premier cas: le hacker bluffe et n’a que l’échantillon publié. Deuxième cas: il dose la publication pour maximiser l’impact médiatique ou la pression sur DoinSport. Troisième cas: il attend un acheteur privé pour la base complète.
Aucune source ne permet de vérifier le chiffre de 800 000. DoinSport revendique 1 000 clubs partenaires - mais ne publie pas le nombre total d’utilisateurs enregistrés. À titre de comparaison, la Fédération Française de Basket a vu 2 millions de licenciés affectés - la FFF 1,5 million. L’ordre de grandeur revendiqué pour DoinSport, plateforme privée positionnée sur deux sports de niche, semble disproportionné, mais impossible à infirmer sans audit indépendant. Ce qui est certain: les 12 000 profils exposés sont les seuls confirmés. L’ampleur réelle reste inconnue.
Une série noire pour le sport français
DoinSport s’inscrit dans une vague. Le sport français encaisse coup sur coup. Le Ministère des Sports piraté entre décembre 2025 et janvier 2026: 3,5 millions de foyers Pass’Sport - 450 000 candidats du système FORÔMES. La Fédération Française de Tennis touchée le 12 janvier 2026. La Fédération Française de Basket: 2 millions de licenciés et 900 000 représentants légaux potentiellement affectés - un suspect de 15 ans interpellé. La Fédération Sportive de la Police Nationale en juin 2026: 224 000 personnes, dont des fonctionnaires avec grade et matricule. L’Union Nationale du Sport Scolaire: 7 millions de jeunes. La Fédération Française de Football: 1,5 million de personnes exposées, un pirate prétend détenir 10 millions de profils.
Un prestataire commun à plusieurs fédérations a été compromis, entraînant des fuites à la Fédération Française de Tir à l’Arc, à la Fédération Française de Roller et Skateboard (plus de 570 000 comptes ) et à la Fédération Française de la Montagne et de l’Escalade.
La génération Z derrière les fuites
Les interpellations récentes révèlent une constante: les auteurs présumés sont très jeunes. Un suspect de 15 ans arrêté dans le cadre de la fuite FFBB. En avril 2026 - un hacker de 20 ans - connu sous le pseudonyme HexDex - interpellé en France. Le cybercriminel « Misère » a revendiqué la fuite FSPN. « goldorak » a publié les détails de la base FFA sur BreachForums.
Aucun lien direct entre ces acteurs et la revendication DoinSport n’a été établi publiquement. Mais le profil se répète: des mineurs ou jeunes majeurs maîtrisant les failles mieux que les organisations ne les colmatent. Le cas FFBB illustre le paradoxe: un adolescent de 15 ans parvient à compromettre une infrastructure traitant des millions de données, tandis que les organisations peinent à appliquer les correctifs de sécurité de base. Une génération qui transforme l’apprentissage autodidacte en menace systémique.
Le silence qui pose question
DoinSport, sur son site, assure que « aucune donnée n’est vendue, louée ou transmise à des tiers en dehors du cadre légal/contractuel ». La plateforme met en avant sa conformité RGPD. Mais à la date de publication, aucun communiqué officiel de DoinSport sur cet incident n’a été identifié.
L’article 33 du Règlement Général sur la Protection des Données impose aux responsables de traitement de notifier la CNIL dans les 72 heures suivant la découverte d’une violation de données personnelles présentant un risque pour les droits et libertés des personnes. L’article 34 du RGPD oblige à informer directement les personnes concernées si le risque est élevé. En l’absence de communication publique, impossible de savoir si DoinSport a respecté ces délais.
Le contraste est saisissant. Certaines fédérations sportives touchées récemment ont publié des communiqués détaillés sous 48 heures. La FFT a informé ses licenciés par email et sur son site. Le Ministère des Sports a publié deux communiqués distincts pour chaque incident. DoinSport affiche sa conformité RGPD mais reste silencieux sur l’incident. L’écart entre discours et obligation légale interroge.
Aucune source consultée n’identifie le prestataire technique ou l’hébergeur de DoinSport dans l’incident. Cet acteur clé de la chaîne de compromission reste dans l’angle mort.
Ce que ça change pour vous
Le RGPD impose aux organisations de notifier la CNIL dans les 72 heures si la fuite présente un risque. Les victimes doivent être informées directement si le risque est élevé. En l’absence de communication officielle de DoinSport à ce stade, les joueurs restent dans le flou.
► Lire aussi: Piratage de la Fédération Française de Tennis: que risquent concrètement les licenciés
Sources
Voir le détail de chaque fait sourcé (7)
-
800 000 , taille prétendue de la base de données complète DoinSport
« elle comptait normalement 800 000 personnes »
x.com ↗ ↩ -
12 000 , profils exposés dans la fuite revendiquée DoinSport
« Plus de 12 000 joueurs de padel et de tennis pourraient être concernés »
x.com ↗ ↩ -
84% , organisations sportives ayant subi un incident cyber (12 derniers mois)
« 84% of sports organizations had a cyber incident in the past 12 months »
darktrace.com ↗ ↩ -
aucune donnée n'est vendue, louée ou transmise à des tiers en dehors du cadre légal/contractuel , Engagement de DoinSport concernant la protection des données personnelles.
« Il est important de noter que DoinSport, une plateforme de gestion pour les clubs de padel et de tennis, met en avant l'importance de la protection des données et sa conformité au RGPD, en assurant que "aucune donnée n'est vendue, louée ou transmise à des tiers en dehors du cadre légal/contractuel". »
doinsport.com ↗ ↩ -
72 , Délai en heures pour notifier la CNIL après la découverte d'une fuite de données présentant un risque.
« Informer la Commission Nationale de l'Informatique et des Libertés (CNIL) dans les 72 heures si la fuite présente un risque pour les droits et libertés des personnes. »
cybermalveillance.gouv.fr ↗ ↩ -
15 , Âge du suspect interpellé dans le cadre de l'enquête sur la fuite de données de la FFBB.
« La Fédération Française de Basket a également révélé une fuite de données affectant près de 2 millions de licenciés, exposant des données d'identité, coordonnées et données de licence, avec un suspect de 15 ans interpellé. »
leparisien.fr ↗ ↩ -
20 , Âge du hacker HexDex lors de son arrestation en France.
« En avril 2026, un hacker de 20 ans, connu sous le pseudonyme "HexDex", a été arrêté en France. »
leparisien.fr ↗ ↩
Sources
- French Breaches (X)
- Seb Latombe (X)
- Have I Been Pwned - Pass'Sport
- Darktrace - Cybersecurity for Sports 2026
- Surfshark - Cybercrime in Sports
- FFT - Communiqué cyber-malveillance
- Ministère des Sports - Exfiltration données
- Le Parisien - Piratages Ministère des Sports
- DoinSport - RGPD
- Dark Web Informer - FFBB Breach
- Numerama - Piratage FFT risques licenciés
- Cybermalveillance.gouv.fr - Violation données FFTIR