La FFBB informe d’un accès non autorisé à ses données licenciés

Les investigations indiquent qu’un accès frauduleux à un compte utilisateur a permis l’exploitation détournée de l'outil fédéral de gestion des licenciés, au travers du module de gestion des éditions. Cet accès a conduit à l'extraction non autorisée de données personnelles, pouvant concerner jusqu'à 2 millions de licenciés, ainsi qu’environ 900 000 données supplémentaires concernant des représentants légaux de licenciés.  

Les informations extraites concernent exclusivement des données d’identité (nom, prénom, date de naissance), des coordonnées (adresse postale, adresse électronique et numéro de téléphone) ainsi que des données de licence et d’appartenance à un club. Leur confidentialité est compromise : elles ont en effet été divulguées, au moins en partie, sur des espaces du dark web accessibles à des acteurs malveillants. 

La Fédération souhaite assurer toutefois qu’aucune donnée bancaire, aucun mot de passe, ni aucune donnée de santé ou sensible n’ont été compromis.

De plus, le cybercriminel à l’origine de cet acte a été identifié et arrêté le 21 avril 2026 par les autorités compétentes. A cette date, les fichiers diffusés sur le dark web ont été supprimés et rendus inaccessibles.

Toutefois, il n’est pas exclu que d’autres personnes aient pu accéder, télécharger ou conserver tout ou partie de ces données avant leur suppression, celles-ci ayant pu circuler sur différents espaces en ligne. Il est donc probable que ces données puissent être traitées à des fins autres que celles pour lesquelles elles nous ont été confiées.

A ce titre, nous alertons particulièrement sur les risques liés à l’hameçonnage (« phishing ») ainsi qu’au harponnage (« spear phishing »), dont vous pourriez être la cible. Un acteur malveillant pourrait chercher à usurper l'identité de la FFBB et essayer d'obtenir des données supplémentaires (vos identifiants, des informations bancaires, etc.). Nous recommandons donc la plus grande vigilance vis-à-vis des messages d’un destinataire inconnu.

En cas de suspicion d'utilisation frauduleuse de vos données (spams par mail et SMS, lien à cliquer, demande de communication de données confidentielles), nous vous conseillons de vérifier l'authenticité de l'expéditeur et de signaler sur la plateforme : https://www.cybermalveillance.gouv.fr/.

En cas de doute dans vos échanges avec la FFBB, vous pouvez vérifier s'il y a bien le nom de domaine @ffbb.com ou directement contacter l'un de ses services : mesdonneesffbb@ffbb.com.

Les services de la FFBB, l’avocat de la FFBB et le Délégué à la Protection des Données, engagent actuellement les démarches nécessaires en vue du dépôt d’une plainte et de sa constitution de partie civile dans le cadre de la procédure judiciaire ouverte. Par ailleurs, une notification de violation de données a été transmise à la Commission Nationale de l'Informatique et des Libertés (« CNIL »), conformément aux obligations prévues par le Règlement général sur la protection des données (RGPD). L’Agence Nationale de la Sécurité des Systèmes d’Information (« ANSSI ») a également été informée de cet incident.

Vous pouvez obtenir des informations complémentaires en vous adressant au point de contact désigné et mobilisé à cet effet en lui écrivant par courriel à l’adresse suivante : mesdonneesffbb@ffbb.com

La FFBB assure que cet événement est pris très au sérieux par l’ensemble de ses services, qui font de la gestion de cet acte cybercriminel leur priorité.