Le ministère des Sports, de la Jeunesse et de la Vie associative a indiqué avoir constaté une « exfiltration de données » depuis l’un de ses systèmes d’information, liée au dispositif Pass’Sport. Le ministère évoque 3,5 millions de foyers concernés et annonce une saisine de la CNIL ainsi qu’un dépôt de plainte.
L’incident concerne des bénéficiaires du Pass’Sport, une aide attribuée aux jeunes éligibles pour financer tout ou partie d’une inscription dans une structure sportive partenaire. Le ministère a confirmé l’existence de cette exfiltration et dit mener des vérifications pour en préciser l’ampleur.
Ce que le ministère dit sur les informations exposées
D’après les éléments relayés par RTL, l’entourage de la ministre des Sports Marina Ferrari indique que les données concernées portent sur des informations d’identification (noms, prénoms, adresses mail), sans mots de passe ni données bancaires. Le ministère affirme qu’un travail est en cours pour informer les foyers concernés et leur transmettre des consignes de sécurité.
La révélation intervient dans un contexte de diffusion, sur un forum fréquenté par des cybercriminels, d’un fichier présenté comme agrégant des informations relatives à des allocataires. RTL précise que le ministère étudie un possible lien entre l’exfiltration liée au Pass’Sport et cette diffusion, des vérifications étant en cours sur des données d’allocataires. RTL+1
Des experts cités par Les Numériques ont, de leur côté, décrit un fichier de grande taille circulant en ligne, contenant notamment des informations nominatives. Ces éléments ne constituent pas, à eux seuls, une confirmation de l’origine des données, mais nourrissent l’hypothèse d’un croisement de bases autour du dispositif Pass’Sport, reprise dans plusieurs analyses techniques.
Plainte annoncée et saisine de la CNIL
Le ministère indique qu’un dépôt de plainte sera réalisé auprès des autorités compétentes et que la Commission nationale de l’informatique et des libertés sera saisie dans le délai réglementaire. Les personnes concernées doivent être informées « dans les meilleurs délais », selon le communiqué repris par plusieurs médias.
Une séquence qui suit la cyberattaque contre le ministère de l’Intérieur
Cette affaire survient deux jours après la confirmation par le ministre de l’Intérieur Laurent Nuñez d’une cyberattaque ayant visé la Place Beauvau, avec consultation de fichiers et extraction de « quelques dizaines de fiches » confidentielles, selon Le Monde.
