FFGym - Information générale cyberattaque

MAJ LE 03/03/2026

Ayant terminé l'analyse forensic de l'attaque subie entre le 24 et le 26 février 2026 et ayant validé les correctifs et mesures à mettre en place, nous sommes en mesure de vous partager un point de situation. 

Une faille applicative de FFGym Licence ayant probablement été utilisée par l'attaquant est en cours de correction et sera livrée pour tests dans la journée. 

Nous visons une remise en service de FFGym Licence demain, dans l'après-midi ou en fin de journée. Le renouvellement des mots de passe de tous les utilisateurs sera obligatoire. A priori aucune donnée n'est perdue mais vous serez invités à nous communiquer toute donnée qui vous semblerait non conforme à ce qui était avant le 23 février. 

Le renforcement de la sécurité de notre système d'information se traduira par la mise en place d'une authentification à double facteur sur l'ensemble des applications spécifiques FFGym dans des délais assez brefs (fin de semaine prochaine ou semaine suivante). 

Cette double authentification s'effectuera par l'envoi d'un code par SMS qu'il faudra saisir sur la page d'authentification en plus du login et du mot de passe. Nous avons décidé de porter à 72h la durée de validité de cette double authentification, tant que l'IP de connexion est la même. Il s'agit d'un compromis entre la contrainte et la sécurité. Le maintien de la connexion SSO entre les différentes applications sera toujours effectif pour conserver le maximum de fluidité d'utilisation des outils FFGym. 

Nous fournirons un guide succinct pour accompagner la mise en place de ce nouveau mode d'authentification. 

Nous vous remercions par avance pour votre compréhension et votre collaboration dans la gestion de cette situation. 

MAJ LE 27/02/2026 

Nous vous informons que la Fédération a été victime, à travers l’outil FFGym Licence, d’une cyberattaque ayant engendré le vol de données licenciés. L’attaquant a pu s’introduire dans le système au moyen d’un compte utilisateur compromis.

Données concernées

Cette attaque a entrainé un accès non autorisé aux données associées à la fiche :

• des licenciés pour la saison en cours et des personnes qui étaient licenciées il y a moins de quatre ans : nom, prénom, date de naissance, sexe, adresse postale, adresse mail, numéro de téléphone, n° de licence ;
• des personnes qui ont été licenciées à la Fédération depuis 2004 et qui ne le sont plus depuis quatre ans : nom, prénom, date de naissance, n° de licence.

2 900 000 licenciés/anciens licenciés sont concernés par la violation de certaines données de leur fiche licence.

Nous vous rassurons quant au fait qu’aucune donnée sensible (donnée bancaire, médicale…) n’a été compromise. En outre, aucune utilisation frauduleuse des données n’a été constatée à ce stade.

Mesures mises en place

Afin de limiter les conséquences de cette intrusion et assurer la sécurité des données, soyez assurés que la Fédération met en place toutes les mesures nécessaires pour y mettre fin et pour renforcer la protection de vos données personnelles.

Aussi, dès la découverte de cette attaque, la Fédération :

1) a immédiatement déclenché une enquête interne, aidée d’une équipe externe et des experts en cyber-incident de l’assureur STOÏK de la Fédération, qui est toujours en cours ;

2) a suspendu, par mesure de précaution, le service FFGym Licence. Nous vous tiendrons informés lorsqu’il sera à nouveau fonctionnel ;

3) a effectué les formalités nécessaires et notamment les déclarations auprès des autorités compétentes comme la CNIL et l’ANSSI. Une plainte va également être déposée ;

4) a prévu de renforcer dans les meilleurs délais les accès à FFGym Licence via un procédé de double authentification.

Au-delà d’assurer la sécurité des données, la Fédération œuvre pour permettre la continuité de son activité et de ses compétitions.

Préconisations

Par mesure de précaution, nous vous recommandons :

• de rester vigilants face aux risques de phishing, d’usurpation d’identité et aux éventuels courriels, appels ou messages suspects que vous pourriez être amenés à recevoir, ayant par exemple pour objectif de vous inciter à communiquer des données personnelles (données bancaires, etc.) 
• de ne jamais communiquer vos identifiants / mots de passe pour accéder aux outils fédéraux et notamment FFGym Licence ;
• d’utiliser un mot de passe fort et unique pour accéder à FFGym Licence et de le modifier une fois le service rétabli si ce n’est pas le cas ;
• en cas de doute, signaler à la Fédération tout comportement inhabituel à l’adresse ci-dessous.

Vous pouvez consulter les bonnes pratiques de sécurité numérique de la CNIL sur le lien suivant : https://www.cnil.fr/fr/mon-quotidien/ma-securite-numerique

Nous contacter

Pour toute question ou demande d'information complémentaire, le Délégué à la Protection des Données (DPO) est à votre disposition à l’adresse suivante : dpo@ffgym.fr

De prochaines communications seront effectuées au fur et à mesure de l’évolution de la situation.

La Fédération est pleinement mobilisée sur cet incident d’origine malveillante, met tout en œuvre pour en limiter les conséquences et assurer durablement la sécurité de vos données.