INSTITUTIONNEL : Jerome SEGURA : « Les fédérations sportives, une mine d’or pour les cybercriminels »

L’entreprise DataDome alerte sur une vague d’attaques par bots visant les fédérations sportives françaises, cibles de choix pour leurs données.

L’année 2026 a débuté sous le signe d’une offensive cybernétique majeure contre le monde du sport français. L’entreprise DataDome, spécialiste français de la protection contre la cyber-fraude, tire la sonnette d’alarme : plus de vingt fédérations sportives nationales ont déjà été la cible d’attaques massives et répétées depuis le mois de janvier. Ces assauts, menés par des programmes informatiques automatisés (bots), visent à piller des données personnelles et financières à très grande échelle, exposant des millions de licenciés à des risques de fraude et d’usurpation d’identité.

Une vague de 48 millions de requêtes malveillantes

Si la menace s’est intensifiée en ce début d’année, elle a atteint une intensité critique fin 2025. DataDome révèle qu’un de ses clients du secteur sportif a subi un pic d’attaques sans précédent à la mi-décembre, totalisant plus de 48 millions de requêtes malveillantes en une courte période. L’analyse de ce flux hostile met en lumière deux techniques principales utilisées par les cybercriminels. D’une part, la création massive de faux comptes, avec 10,5 millions de tentatives recensées, probablement destinée à submerger les systèmes ou à préparer des fraudes futures. D’autre part, la technique du « credential stuffing » (ou bourrage d’identifiants), qui représente à elle seule 5,4 millions de tentatives de connexion frauduleuses sur les comptes des adhérents.

Des bases de données convoitées et vulnérables

Mais pourquoi un tel acharnement sur les fédérations sportives ? Pour les pirates, ces organisations représentent des cibles de premier choix, car elles centralisent une quantité phénoménale de données sensibles, souvent avec des niveaux de sécurité hétérogènes. Jerome Segura, vice-président de la recherche sur les menaces chez DataDome, analyse la situation.

« Les fédérations sportives concentrent énormément de données à forte valeur. Licences, certificats médicaux, coordonnées bancaires, comptes bénévoles et administrateurs. Ce sont des bases très larges, souvent peu segmentées, donc parfaites pour le credential stuffing et la revente de comptes. Pour des cybercriminels, le ratio effort versus gain est excellent », détaille Jerome Segura.

L’industrialisation du vol de données

Ces attaques ciblées illustrent une tendance de fond dans la cybercriminalité : l’industrialisation de l’exploitation des fuites de données. Les pirates récupèrent des listes d’identifiants et de mots de passe compromises lors de précédentes brèches de sécurité sur d’autres plateformes mondiales. Ensuite, à l’aide de réseaux de bots très puissants, ils testent ces mêmes combinaisons sur des milliers d’autres sites, comme ceux des fédérations sportives, en pariant sur le fait que de nombreux utilisateurs réutilisent leurs mots de passe d’un service à l’autre.

Lorsqu’une combinaison fonctionne, les pirates prennent le contrôle du compte. Les objectifs sont alors multiples : usurpation d’identité, fraude à la carte bancaire si des coordonnées sont enregistrées, envoi de messages de hameçonnage (phishing) aux contacts de la victime, ou encore la revente des accès validés sur les marchés noirs du dark web. Face à l’évolution constante des menaces, notamment avec l’émergence d’agents d’intelligence artificielle capables de mener des attaques plus sophistiquées, la protection des plateformes en ligne devient un enjeu de sécurité majeur pour toutes les organisations gérant des données personnelles.