L’Union nationale du sport scolaire a confirmé lundi avoir été victime d’un vol massif de données, après que le groupe de hackers DumpSec a mis en ligne sur le darknet des informations dérobées sur son site intranet Opuss. 65 gigaoctets de données auraient été exfiltrés, dont 1,557 million de photographies d’identité d’élèves de la sixième à la terminale. L’UNSS, qui n’a pas validé ces chiffres, précise que l’exfiltration initiale remonte à novembre 2025. La fédération, qui recense 1,2 million de licenciés âgés de 11 à 18 ans et est placée sous tutelle du ministère de l’Éducation nationale, a déposé plainte.
Les données concernées comprennent les noms, identifiants, dates de naissance, établissements scolaires et informations d’assurance des élèves inscrits. La fédération assure en revanche que les données financières et celles relatives au handicap ne sont pas touchées. Elle indique avoir rendu inopérants les liens donnant accès aux photographies et renforcé ses procédures d’authentification. La CNIL a été notifiée et l’ANSSI saisie.
Un système déjà fragilisé depuis 2025
Ce n’est pas la première fois que l’UNSS se retrouve exposée. La fédération avait déjà subi une cyberattaque en mars 2025, avant qu’en juin de la même année deux jeunes pirates ne revendiquent auprès du Parisien avoir forcé l’accès à Opuss. L’un d’eux, âgé de 17 ans et se faisant appeler « Mensonge », avait alors déclaré que l’intrusion avait été « super simple », ajoutant que « rien n’est sécurisé ». Les deux adolescents affirmaient ne pas avoir revendu les données en raison de leur faible valeur marchande, souhaitant simplement alerter sur les défaillances du système.
DumpSec, le groupe à l’origine de la diffusion actuelle, a par ailleurs revendiqué vendredi le vol des données administratives de 15 millions de Français, lors d’une cyberattaque distincte visant 1 500 médecins utilisateurs d’un logiciel de la société Cegedim Santé.
