La Fédération française de basketball (FFBB) a annoncé mercredi 29 avril 2026 avoir été victime d’une intrusion informatique ayant conduit à l’extraction non autorisée des données personnelles de près de deux millions de licenciés, auxquelles s’ajoutent les informations d’environ 900 000 représentants légaux, majoritairement des parents de joueurs mineurs.
L’accès frauduleux a été rendu possible par la compromission d’un simple compte utilisateur, qui a permis au cybercriminel d’exploiter l’outil fédéral de gestion des licences. Les données dérobées comprennent les noms, prénoms, dates de naissance, adresses postales, adresses électroniques et numéros de téléphone des personnes concernées, ainsi que leurs informations de licence et d’appartenance à un club. La FFBB a précisé qu’aucune donnée bancaire, aucun mot de passe et aucune information médicale n’ont été compromis.
Des données brièvement publiées sur le dark web
Une partie des fichiers volés a été mise en ligne sur des espaces du dark web avant d’en être retirée. La fédération a toutefois prévenu que leur suppression ne garantit pas qu’ils n’aient pas été téléchargés ou conservés par d’autres acteurs. Le risque principal identifié est celui du hameçonnage : des messages frauduleux usurpant l’identité de la FFBB pourraient cibler les licenciés et leurs familles pour obtenir des informations complémentaires, notamment financières. La FFBB a notifié la Commission nationale de l’informatique et des libertés (CNIL) de cette violation, conformément aux obligations imposées par le Règlement général sur la protection des données (RGPD), qui prévoit une déclaration dans un délai de 72 heures suivant la découverte de l’incident.
Un suspect de 21 ans mis en examen
Le 20 avril, un jeune homme de 21 ans opérant sous le pseudonyme « HexDex » a été interpellé en Vendée. Il est soupçonné d’être l’auteur de plus d’une centaine d’intrusions informatiques visant plusieurs fédérations sportives françaises, parmi lesquelles celles de voile, d’athlétisme, de gymnastique et de ski. Placé en détention provisoire après sa mise en examen, il encourt jusqu’à cinq ans d’emprisonnement et 150 000 euros d’amende en vertu de l’article 323-1 du Code pénal, qui réprime l’accès frauduleux à un système de traitement automatisé de données.
La FFBB a indiqué que les licenciés concernés seront informés individuellement de la violation de leurs données, une obligation prévue par le RGPD lorsque l’incident est susceptible d’engendrer un risque élevé pour les personnes physiques.
