Les fédérations françaises de karaté et de rugby ont tour à tour annoncé avoir été victimes d’une attaque informatique ayant pu conduire à l’exposition des informations personnelles de certains de leurs adhérents. Les deux structures assurent avoir musclé leurs défenses.

L’hémorragie de données personnelles dans le monde du sport se poursuit avec deux nouvelles victimes identifiées. La Fédération française de karaté et disciplines associées (FFKDA) et la Fédération française de rugby (FFR) ont en effet toutes deux annoncé avoir été victimes d’un incident cyber à quelques jours d’intervalle.

Une base de données affectée au sein de la FFKDA

La fédération de karaté a communiqué via son site web le 11 mars dernier. « Nous avons identifié un accès non autorisé à l’un de nos systèmes informatiques, susceptible d’avoir entraîné l’extraction de certaines données personnelles », écrit-elle. Les données concernées comprennent « nom, prénom, coordonnées (adresse e-mail, adresse postale), numéro de licence et certaines informations administratives associées ». Mots de passe et données bancaires seraient en revanche épargnés.

« Nous regrettons sincèrement cet incident et comprenons les inquiétudes qu’il pourrait susciter. Les mesures correctives nécessaires ont d’ores et déjà été mises en place afin de renforcer nos dispositifs de sécurité et de prévenir toute situation similaire à l’avenir », ajoute la fédération.

Alors qu’un prestataire (Exalto via sa solution e-licence) est revenu à de nombreuses reprises dans les nombreux incidents cyber survenus au niveau des fédérations sportives, on peut noter que la FFKDA revendique l’utilisation d’un progiciel de gestion développé par ses soins, baptisé Sikada, et doublé d’une application mobile, « FFKarate e-licence », réalisée par une agence tierce.

Ingénierie sociale à la FFR

La Fédération française de rugby a quant à elle signalé l’incident mardi 17 mars, en précisant d’emblée qu’il ne s’agissait pas d’une intrusion directe dans ses systèmes, mais plutôt d’accès non autorisés permis par une campagne d’ingénierie sociale ciblant certains de ses adhérents ou administrateurs.

« Les investigations techniques menées à ce stade indiquent que l’incident de sécurité s’est produit à la suite d’une campagne de phishing (ou d’usurpation d’identité numérique) sur nos populations licenciées », affirme ainsi la FFR, vraisemblablement alertée par la publication, sur Breach Forums, d’une annonce relative à la vente des données personnelles de ses licenciés.

L’annonce en question évoque une fuite de grande ampleur, qui couvrirait les infos personnelles de 530 000 licenciés mais comprendrait aussi un lot important de photos, des copies de documents d’identité et des déclarations d’accidents.

La FFR ne commente pas la nature ou le volume des données exposées. Elle affirme en revanche qu’elle communiquera plus directement auprès de ses licenciés, et promet que l’intrusion a été circonscrite.

« Sa portée a ainsi été maitrisée, à travers une série d’actions rapides, incluant notamment la suspension temporaire de certains services, le renforcement des contrôles d’accès, la réinitialisation des mots de passe et le déploiement de dispositifs de sécurité complémentaires », écrit la Fédération, qui a temporairement placé hors ligne sa plateforme Oval-e, qui centralise l’ensemble des interactions avec les clubs et les licenciés dont, par exemple, les déclarations d’accident, les feuilles de match dématérialisées, la désignation des arbitres, etc.

Après la vague de vols de données de début 2025, plusieurs fédérations ont été victimes d’incidents début 2026, tout comme l’Union nationale du sport scolaire (UNSS).