Sur un forum du dark web, un cybercriminel opérant sous le pseudonyme de « Misère » a revendiqué une cyberattaque à l’encontre de Sportpolice.fr, la plateforme numérique de la Fédération Sportive de la Police Nationale. Comme souvent, c’est le site de veille spécialisé FrenchBreaches, qui recense les fuites de données en France, qui a tiré la sonnette d’alarme.
🔴🚨 La Fédération Sportive de la Police Nationale piratée : près de 224 000 policiers potentiellement touchés, avec 14 ans de données, des centaines de milliers de certificats médicaux et de licences sportives exposés.
Un jour, une fuite.
Le cybercriminel « Misère », connu… pic.twitter.com/6S9hzv9MaA
— Seb (@seblatombe) June 21, 2026
L’attaque a été rapidement confirmée par la Fédération Sportive de la Police Nationale. Dans un communiqué de presse, la fédération indique « avoir appris ce matin qu’une base de données de la Fédération Sportive de la Police Nationale a pu faire l’objet d’une cyberattaque ». La fédération précise que « les données piratées pourraient remonter sur plusieurs années de licences FSPN ».
14 ans de données compromises
Selon les dires du pirate, les fichiers divulgués contiendraient des noms, prénoms, dates de naissance, grades, matricules et services d’affectation de policiers. Des données sportives et médicales auraient également été compromises. Environ 180 000 certificats médicaux, plus d’un million de convocations, et près de 380 000 licences sportives auraient été piratés, si l’on en croit les assertions de « Misère ». Notez que le hacker est déj à l’origine du hack de la messagerie Tchap et de la plateforme JeVeuxAider.gouv.fr.
Le pirate parle de 224 076 enregistrements. Plus de 70 000 licenciés et adhérents de la fédération seraient concernés, car un même policier peut apparaître plusieurs fois dans la base de données. Pas moins de quatorze années, de 2012 jusqu’à 2026, sont couvertes par les données dérobées. C’est une mine d’or pour les cybercriminels, en particulier pour les spécialistes du phishing et de l’usurpation d’identité.
« Nous vous recommandons d’être vigilant aux mails frauduleux ou toutes autres tentatives d’hameçonnage que vous pourriez recevoir dans les prochaines semaines », déclare la Fédération Sportive de la Police Nationale.
Une faille bien connue
Le pirate explique avoir profité d’une faille baptisée IDOR (Insecure Direct Object Reference), une vulnérabilité particulièrement courante dans les systèmes informatiques des administrations françaises. Lorsqu’un site attribue un numéro à chaque utilisateur ou document, il suffit de modifier ce numéro dans l’adresse web pour tenter d’accéder aux données d’une autre personne. Si le serveur ne vérifie pas correctement qui a le droit de consulter quoi, l’intrus peut alors parcourir des milliers de profils privés.
Tandis que les investigations visant à définir le périmètre de la fuite continue, la fédération indique qu’une plainte a été déposée. Comme le prévoit le règlement général sur la protection des données (RGPD) en cas de fuite, la Commission nationale de l’informatique et des libertés (CNIL) devrait également être saisie.
Une seconde fuite touche les policiers français
Pour rappel, ce n’est pas la première fuite visant les forces de l’ordre en France. En mars dernier, la plateforme de formation en ligne e-campus de la Police nationale française a été piratée. L’intrusion est restée inaperçue pendant plus d’un mois. Les données personnelles et professionnelles de plus de 170 000 policiers ont été dérobées et mises en vente sur le dark web.
👉🏻 Suivez l’actualité tech en temps réel : ajoutez 01net à vos sources sur Google, et abonnez-vous à notre canal WhatsApp.
Source : FSPN
