Team AAZ - Forum

La Fédération Française de Motocyclisme (FFMOTO) a-t-elle était de nouveau victime d’une cyberattaque d’ampleur. Près de 463 000 dossiers de licenciés et de membres, incluant photos, données médicales et informations personnelles, circulent désormais entre les mains d’un pirate informatique repéré par ZATAZ.

Coup dur pour la FFMOTO : à peine remise d’une précédente cyberattaque, la Fédération Française de Motocyclisme doit affronter un nouveau cauchemar numérique. Selon les informations de ZATAZ, un pirate informatique aurait réussi à s’introduire dans les systèmes informatiques via un compte administrateur compromis. Résultat : un « data leak » affiché. Près de 463 000 dossiers, comprenant des identités complètes, des coordonnées, des photos – parfois jusqu’à la copie de la carte d’identité ou du certificat médical – seraient aujourd’hui entre les mains de plusieurs cybercriminels. Dans son message, le « nouveau » pirate indique avoir copié les informations, il y a quelques jours !

Nouvelle ou vielle fuite ?

Le 24 janvier 2025, un pirate désigné « TheFrenchGuy » avait annoncé avoir infiltré via un compte administrateur de la Fédération Française de Motocyclisme les systèmes gérés par un prestataire, exposant les données personnelles de 462 912 licenciés, incluant photos d’identité et certificats médicaux. Le pirate indiquait à l’époque avoir exploité une faille de configuration du back‑office du prestataire Exalto pour accéder et extraire des bases de données sensibles. Sept mois plus tard, une nouvelle « petite annonce » pirate affiche un accès à la FFM. Alors, l’annonce de « hack » de juillet 2025, vraie ou fausse cyber attaque ?

FFMOTO : l’épicentre du sport motocycliste français… et désormais cible des hackers

Fondée en 1913, la Fédération Française de Motocyclisme (FFMOTO) est le cœur battant du sport moto dans l’Hexagone. Chaque année, des milliers de passionnés passent par cette structure pour obtenir leur licence, s’inscrire à des compétitions, ou tout simplement vivre leur passion sur piste, sur route ou en tout-terrain. Organisation de championnats, délivrance de licences, gestion des clubs, promotion des disciplines : la FFMOTO chapeaute tout ce qui roule, vibre et sent l’huile chaude à deux-roues.

Mais si la fédé maîtrise les vrombissements des paddocks, l’arène numérique s’avère bien plus difficile à dompter. Selon les informations collectées par ZATAZ, le « nouveau » pirate de juillet 2025 serait passé par un compte intranet. Un accès interne qui lui aurait permis de copier de nombreux documents. Il va d’ailleurs diffuser des extraits de ses copies : des photos et des certificats médicaux par parfaire son marketing de la malveillance et attirer de potentiels acheteurs.

Le mode opératoire est digne des pires thrillers du cyberespace : il y a quelques jours, toujours selon les dires de ce hacker malveillant, les identifiants d’un compte administrateur du système d’information de la fédération a été découvert dans des logs d’un stealer (logiciel d’espionnage numérique). Cet accès privilégié, normalement réservé à quelques personnes de confiance, aurait permis d’ouvrir grand les portes de la base de données centrale. Ni pare-feu, ni double authentification : en quelques clics, le contenu le plus sensible de la fédération aurait donc été retrouvé siphonné et archivé.

Le pirate a diffusé plusieurs échantillons pour parfaire la véracité de son annonce.

Quels fichiers auraient fuité ?

Selon le pirate et ses échantillons (format json, images). Les identités complètes : noms, prénoms, sexe, date et lieu de naissance, nationalité ; les coordonnées : adresse postale, téléphone, mail. Des données administratives et sportives : date d’inscription, type de licence, discipline, structure fédérale. Des photos que le pirate affiche dans une vidéo qu’il a diffusé ! Des dossiers médicaux seraient aussi présent sous la forme de certificats d’aptitude fournis à la fédération.

Le tout serait organisé en fichiers .txt et deux dossiers, pour un total de 463 000 enregistrements. Selon les codes du « milieu » pirate, ce type de leak est proposé à la vente sous le label « SLOT: 0/3 », ce qui signifie qu’un maximum de trois acheteurs auront accès à ces données. Une confidentialité du business qui étonnera toujours ZATAZ. Pourquoi un pirate irait acheter un contenu acquis par d’autres ? L’originalité et la fraicheur étant une obligation pour les escrocs du web ?

Des informations à haut risque

Si cette fuite s’avère vraie, nous voici avec un véritable kit pour l’usurpation d’identité. Pour un cybercriminel, un véritable jackpot. En croisant nom, prénom, date et lieu de naissance, numéro de téléphone, adresse, mail et photo, il devient un jeu d’enfant de fabriquer de faux documents, ouvrir des comptes frauduleux ou même usurper une identité pour commettre des délits comme je vous le montre dans cette vidéo sur le Youtube de ZATAZ. Pire : certaines fiches contiendraient la copie de la carte d’identité du licencié, ainsi que le certificat médical exigé pour la pratique. Un “combo” qui, s’il s’avère vrai, pourrait devenir une plaie numérique pour les adhérents concernés.

Avec ces données en poche, les pirates peuvent orchestrer : des campagnes de phishing ultra-ciblées (avec message personnalisé, mention de la fédé ou de la discipline, etc.) ; fu chantage (“Nous avons votre certificat médical, payez sinon…”) ou menaces d’usurpation d’identité ; de la fraude (création de faux dossiers pour des crédits, ouverture de lignes téléphoniques, etc.). Beaucoup de licenciés sont de jeunes sportifs [détails que le pirate diffuse dans la vidéo qu’il a créé pour l’occasion de son marketing de la malveillance] : le risque d’exploitation des données de mineurs, ou l’utilisation frauduleuse de leur identité, est d’autant plus préoccupant.

Conseils pour limiter la casse

Changez votre mot de passe sur la plateforme FFMOTO et tous les services où vous l’auriez réutilisé ;
Mettez en place une surveillance de votre identité (services d’alerte de ZATAZ par exemple) ;
Restez attentif aux communications officielles de la fédération (vérifiez l’expéditeur, méfiez-vous des liens suspects)

Si les fédérations sportives sont des cibles “classiques” pour le cybercrime, rares sont celles qui disposent d’un arsenal digne des grandes entreprises ou des établissements publics. Budget, priorités, méconnaissance des risques : le sport français est en retard sur la sécurisation de ses données sensibles. Les incidents se multiplient : fédérations de football, judo, rugby, sports mécaniques… la liste s’allonge d’année en année.

merci à ZATAZ