Chères Présidentes, Chers Présidents de clubs,

 

La Fédération Française de la Randonnée Pédestre (FFRandonnée) a identifié le jeudi 5 février 2026 un incident de sécurité affectant son système de gestion de la vie fédérale. L'incident a rapidement été contenu et stoppé. Conformément à ses obligations légales, et dans un souci de transparence, elle souhaite informer son réseau de cette situation.

 

Nature de l'incident 

Cet incident résulte de l'utilisation frauduleuse d'un compte fédéral compromis. Cet accès non autorisé a permis, par un mécanisme complexe, la consultation et l'extraction de données personnelles concernant une partie de son fichier adhérents.

 

À ce stade des investigations, aucun élément ne permet d'établir une intrusion dans l'infrastructure informatique globale de la FFRandonnée, ni une compromission des mécanismes d'authentification de ses systèmes, ni une fuite de mots de passe.

 

Personnes et catégories de données concernées

Les personnes concernées par cet incident feront l'objet d'une information individuelle spécifique précisant la nature des données impactées.

Les données qui ont été consultées et extraites sont les suivantes :

- Numéro de Licence

- Nom et Prénom

- Date de naissance

- Sexe

- Adresse /Code Postal/Ville/Pays

- Téléphone fixe ou/et mobile

- E-mail

- Nom de naissance

- Nom d'usage

- Prénom de naissance

- Ville de naissance

- Rôle

- Structure

Il est précisé qu'aucune donnée bancaire ni aucun mot de passe personnel n'ont été compromis.

 

Conséquences possibles

Bien qu'il ne soit pas possible de confirmer à ce stade une diffusion publique des données, leur consultation et extraction non autorisée peuvent exposer les personnes concernées à certains risques, notamment :

• des tentatives de phishing (emails, SMS ou appels frauduleux se faisant passer pour la FFRandonnée, un club ou un organisme tiers),
• des spams ou sollicitations non désirées,
• des hameçonnages ciblés : tentatives d'escroquerie ciblées rendues plus crédibles par l'utilisation d'informations personnelles,
• des usurpations d'identité.

 

Mesures prises par la FFRandonnée

Dès la découverte de l'incident, la FFRandonnée a mis en œuvre les actions suivantes :

• neutralisation immédiate du compte compromis,
• déclaration de l'incident auprès des autorités compétentes :
  • Commission Nationale de l'Informatique et des Libertés (CNIL)
  • Agence Nationale de la Sécurité des Systèmes d'Information (ANSSI)
  • Commissariat de Police
• analyse approfondie de la situation afin d'en déterminer l'étendue exacte,
• renforcement en cours des mesures de sécurité.

 

Recommandations

Par mesure de précaution, il est vous recommandé d'adopter les bonnes pratiques suivantes :

 

Vigilance face au phishing

• ne jamais communiquer d'informations sensibles (mots de passe, coordonnées bancaires) par email, téléphone ou SMS,
• divulguer les données personnelles des clients, des adhérents ou des collaborateurs qu'aux personnes dûment autorisées à les recevoir, en fonction de leurs attributions,
• se méfier de tout message suspect se présentant comme émanant de la FFRandonnée, d'un club ou d'un partenaire,
• vérifier l'identité de l'expéditeur (notamment son adresse e-mail) et privilégier les canaux officiels en cas de doute,
• ne pas cliquer sur des liens dans des mails suspicieux.

 

Renforcement de la sécurité des comptes (par prévention)

• utiliser des mots de passe uniques et robustes pour chaque service (minimum 12 caractères, avec majuscules, minuscules, chiffres et caractères spéciaux),
• modifier ses mots de passe lorsqu'ils sont partagés entre plusieurs plateformes,
• activer, lorsque cela est possible, l'authentification à deux facteurs,
• recourir à un gestionnaire de mots de passe pour sécuriser ses accès.

 

Pour plus d'informations et conseils, nous vous invitons à consulter www.cybermalveillance.gouv.fr, le site d'assistance et prévention en cybersécurité pour les particuliers et les professionnels :

• sur le phishing ou hameçonnage
• sur les bonnes pratiques

 

Contact et assistance

Pour toute question relative à cet incident ou à la protection de vos données personnelles, vous pouvez contacter le Délégué à la Protection des Données (DPO) de la FFRandonnée à l'adresse suivante : dpo@ffrandonnee.fr

 

Engagement de la FFRandonnée

La FFRandonnée regrette sincèrement cet incident (qui touche un grand nombre de fédérations sportives actuellement) et réaffirme son engagement constant en matière de protection des données personnelles.

Elle poursuit et renforce ses investissements afin de garantir un haut niveau de sécurité et de transparence au service de l'ensemble de son réseau, via notamment la mise en service d'un nouvel outil de gestion de la vie fédérale prévue pour la prochaine rentrée sportive.

 

Nous vous rappelons également que notre processus de mise en conformité initié avec notre DPO externalisé est toujours en cours et vise à réduire les risques d'incidents tout en renforçant la protection des données personnelles.

 

De nouvelles informations seront communiquées si les investigations en cours faisaient apparaître des éléments complémentaires.