C'est une nouvelle dont les sportifs se seraient bien passés en ce début d'année. Après plusieurs institutions sportives ces derniers mois, c'est au tour de la Fédération Française de Tennis (FFT) d'être la cible d'une attaque informatique d'envergure. Si vous faites partie des 1,2 million de licenciés, vos données personnelles sont peut-être dans la nature. Voici tout ce qu'il faut savoir sur cet incident, les risques encourus et la marche à suivre pour sécuriser vos comptes.
Le problème : une plateforme des clubs compromise
Nous avons reçu cette semaine un mail officiel de la FFT pour nous prévenir qu'elle avait été victime d'un piratage. En voici le contenu.
La FFT a confirmé ce lundi 12 janvier avoir été victime d'un acte de cyber-malveillance. L'attaque n'a pas visé le site institutionnel principal directement, mais une plateforme spécifique utilisée par les clubs pour la gestion administrative et sportive.
Les pirates ont réussi à s'infiltrer dans le système, obtenant un accès non autorisé à une base de données conséquente. Selon les premiers retours et le communiqué officiel de la fédération, les informations exfiltrées concernent l'état civil et les coordonnées des adhérents. Sont concernés :
Les noms et prénoms
Les adresses postales
Les adresses e-mail
Les numéros de téléphone
La FFT a précisé avoir immédiatement notifié la CNIL (Commission Nationale de l'Informatique et des Libertés) ainsi que l'ANSSI, et une plainte a été déposée.
Quels risques pour les licenciés ?
Si la Fédération se veut rassurante en précisant qu'a priori, aucune donnée bancaire ni médicale (certificats, etc.) n'a été compromise, la fuite de coordonnées reste problématique.
Le risque majeur est le phishing ciblé (ou hameçonnage). Avec votre nom, votre mail et votre statut de licencié, un pirate peut rédiger des courriels ou des SMS extrêmement crédibles.
Scénario typique : Vous recevez un mail aux couleurs de la FFT vous demandant de régler une cotisation en retard, de valider votre licence pour un tournoi, ou de réinitialiser votre mot de passe via un lien frauduleux.
Ingénierie sociale : Les données téléphoniques peuvent aussi être utilisées pour des arnaques par SMS ou par appel (vishing), où l'escroc se fait passer pour le support technique.
L'objectif des attaquants est souvent de récupérer des mots de passe (pour tenter de se connecter à d'autres services comme votre boîte mail ou vos comptes bancaires) ou de vous soutirer de l'argent directement.
Comment se prémunir ?
Si vous êtes licencié FFT, la vigilance est de mise pour les semaines et mois à venir. Voici les réflexes à adopter immédiatement :
Méfiez-vous des messages officiels en apparence : Soyez très critique envers tout email ou SMS provenant (en apparence) de la FFT ou de votre club, surtout s'il demande une action urgente ou un paiement. Vérifiez toujours l'adresse de l'expéditeur (pas seulement le nom affiché).
Ne cliquez pas aveuglément : Si on vous demande de vous connecter à votre espace licencié (Ten'Up ou autre), ne cliquez pas sur le lien dans le mail. Ouvrez votre navigateur et tapez l'adresse officielle manuellement.
Mots de passe : Même si les mots de passe ne sont pas explicitement cités dans la fuite, il est recommandé par précaution de changer celui de votre compte FFT. Si vous utilisiez le même mot de passe ailleurs (ce qu'il ne faut jamais faire !), changez-le également sur les autres sites concernés.
Utilisez des outils de sécurité : Sur Mac et iOS, n'hésitez pas à activer les fonctions de protection de la confidentialité (comme "Masquer mon adresse e-mail" via iCloud+) pour vos futures inscriptions, afin de limiter l'impact de ce type de fuite.
Protégez-vous avec un antivirus : Sur Mac comme sur iPhone, un antivirus vous immunise contre les messages malveillants, les menaces de phishing et les potentiels malwares qui vous infecterait suite à un clic sur un mauvais lien.
Contrairement au mythe tenace, macOS n'est pas invulnérable. Suite à une fuite de données, les pirates tentent souvent d'envoyer des malwares via des pièces jointes ou des liens piégés. Un logiciel antivirus à jour constitue une seconde ligne de défense essentielle : il pourra scanner et bloquer un fichier malveillant que vous auriez téléchargé par mégarde, vous évitant ainsi de compromettre l'intégralité de votre machine.
