Données concernées

Cette attaque a entrainé un accès non autorisé aux données associées à la fiche :

• des licenciés pour la saison en cours et des personnes qui étaient licenciées il y a moins de quatre ans : nom, prénom, date de naissance, sexe, adresse postale, adresse mail, numéro de téléphone, n° de licence ;
• des personnes qui ont été licenciées à la Fédération depuis 2004 et qui ne le sont plus depuis quatre ans : nom, prénom, date de naissance, n° de licence.

Cela représente un total de 2 900 000 licenciés/anciens licenciés concernés par la violation de certaines données de leur fiche licence. Ce volume s’explique par l’historique des données minimales conservées conformément aux obligations légales et réglementaires applicables aux fédérations sportives.

Aucune utilisation frauduleuse des données n’a été constatée à ce stade et aucune sensible (donnée bancaire, médicale…) n’a été compromise.

Mesures mises en place

Afin de limiter les conséquences de cette intrusion et assurer la sécurité des données, la Fédération a mis en place toutes les mesures nécessaires pour y mettre fin et pour renforcer la protection de vos données personnelles.

Aussi, la Fédération a :

1) suspendu, par mesure de précaution, le service FFGym Licence ;

2) immédiatement déclenché une enquête interne, aidée d’experts en cybersécurité ;

3) effectué les formalités nécessaires, notamment les déclarations auprès des autorités compétentes comme la CNIL et l’ANSSI. Un dépôt de plainte ainsi qu’une déclaration de sinistre auprès de notre assureur STOÏK ont également été effectués ;

4) prévu de renforcer dans les meilleurs délais (avant la fin du mois) les accès à FFGym Licence via un procédé de double authentification.

Nous souhaitons vous informer qu’une vingtaine de fédérations sportives ont été touchées au cours des dernières semaines par des cyberattaques, dont la plupart par le même attaquant. Par conséquent, une coordination des actions se met en place entre les différentes fédérations concernées pour partager les informations et se concerter sur les suites à donner.

Conduite à tenir pour les utilisateurs

Nous appelons donc les utilisateurs des outils fédéraux à la plus grande vigilance.

En effet, l’attaquant a réussi à pénétrer dans l’outil FFGym Licence via un compte club compromis probablement avec un procédé de phishing, destiné à tromper l’utilisateur pour l’inciter à communiquer ses identifiants de connexion. Par conséquent, la réouverture des différents accès sécurisés du site internet fédéral effectuée ce jour est soumise à la modification, pour chaque utilisateur, de son mot de passe.

Nous vous adressons ci-après la procédure à suivre :

1. se rendre sur le site internet https://www.ffgym.fr/ et cliquer sur l’onglet « connexion »
2. cliquer sur « mot de passe oublié »
3. insérer son identifiant/numéro de licence et l’adresse mail associée au compte, puis valider
4. ouvrir ses mails et cliquer sur le lien permettant de choisir un nouveau mot de passe
5. renseigner un nouveau mot de passe en respectant l'exigence de sécurité (8 caractères, au moins une majuscule, une minuscule et un chiffre)

Nous vous remercions de choisir un mot de passe complexe, composé d’une suite de caractères ne formant aucun mot existant (éviter les noms communs et les références à votre identité ou date de naissance)

Attention

• Votre compte sera désactivé à partir de cinq tentatives de connexions erronées
• Il est obligatoire de passer par l’onglet MonCompte / MonClub du site internet fédéral pour réinitialiser son mot de passe. La procédure « mot de passe oublié » directement sur FFGym Licence a été désactivée par mesure de sécurité.

Nous reviendrons vers vous dès que le procédé de double authentification sera effectif sur nos outils (méthode d'accès sécurisée en deux étapes), qui nécessitera de renseigner un code reçu par sms pour pouvoir se connecter.

Préconisations

Par mesure de précaution, nous vous recommandons :

• de rester vigilants face aux risques de phishing, d’usurpation d’identité et aux éventuels courriels, appels ou messages suspects que vous pourriez être amenés à recevoir, qui auraient par exemple pour objectif de vous inciter à communiquer des données personnelles (données bancaires, etc.) ;
• de ne jamais communiquer vos identifiants / mots de passe pour accéder aux outils fédéraux et notamment FFGym Licence ;
• d’utiliser un mot de passe fort et unique pour accéder à FFGym Licence ;
• en cas de doute, signaler à la Fédération tout comportement inhabituel à l’adresse ci-dessous.

Vous pouvez consulter les bonnes pratiques de sécurité numérique de la CNIL sur le lien suivant : https://www.cnil.fr/fr/mon-quotidien/ma-securite-numerique

Nous contacter

Pour toute question ou demande d'information complémentaire, le Délégué à la Protection des Données (DPO) est à votre disposition à l’adresse suivante : dpo@ffgym.fr

Nous comprenons l’inquiétude que cette situation peut susciter et nous tenons à vous assurer de notre pleine mobilisation pour limiter les conséquences de cet incident et assurer durablement la sécurité de vos données. Nous ne manquerons pas de vous tenir informés de l’évolution de la situation.