Piratage massif : l’ombre d’une cyberattaque plane sur le Pass’Sport et le CNOUS
Publié le jeudi 18 décembre 2025 08h21
La fin d’année 2025 s’annonce électrique pour la cybersécurité française. Alors que tout le monde s’apprête à fêter Noël, une rumeur persistante circule sur les forums spécialisés : une base de données de plus de 22 millions de lignes, liée au dispositif Pass’Sport, aurait été dérobée. Si l’information se confirme, ce sont près de 3,5 millions de foyers qui verraient leurs informations privées circuler entre les mains de cybercriminels. Entre la CAF, la MSA et le CNOUS, les sources de cette fuite potentielle semblent multiples et touchent directement le quotidien des familles et des étudiants. Voici ce que l’on sait de ce dossier qui fait déjà trembler les ministères.
Un cadeau de noël empoisonné sur les forums de hackeurs
C’est une nouvelle dont on se serait bien passé pour clore l’année. Sur les recoins sombres du web, là où se négocient les données volées, une annonce fait grand bruit depuis quelques heures. Un mystérieux fichier contenant des informations ultrasensibles aurait été mis en ligne. Au cœur de ce butin numérique, on retrouverait des détails précis concernant le Pass’Sport, cette aide de l’État destinée à booster la pratique sportive chez les jeunes. Si les révélations de Christophe Boutry sur X s’avèrent exactes, l’ampleur du désastre serait considérable. On ne parle pas ici d’un petit bug technique, mais bien d’une extraction massive qui concernerait des millions de personnes à travers tout l’Hexagone. C’est d’autant plus inquiétant que les éléments mis en avant semblent particulièrement récents, datant tout juste du mois de novembre dernier.
Publicité
Un mélange explosif de données administratives
Ce qui rend cette affaire si complexe, c’est la provenance de ces informations. Il ne s’agirait pas d’une attaque directe contre les serveurs d’une seule institution, mais plutôt du piratage d’un point de convergence de Pass’Sport. Pour que le dispositif fonctionne, l’administration doit croiser les fichiers de la Caisse d’allocations familiales, de la Mutualité sociale agricole et des services étudiants. C’est dans cet entonnoir, sans doute chez un prestataire technique ou un sous-traitant en charge de la plateforme, que les pirates auraient trouvé une porte ouverte. Ils auraient ainsi mis la main sur un historique s’étalant sur quatre ans, de 2022 jusqu’à la campagne actuelle. En fouillant dans ce tas de données, il serait possible de suivre l’évolution de familles entières, ce qui est assez terrifiant quand on y pense.
La fuite de données de 22M de lignes mises en ligne sur Breachforums viendrait très probablement du Pass’Sport. Le fichier n’est pas une base CAF classique. Il agrège des bénéficiaires CAF, MSA (agricole) et CNOUS (étudiants). La déduction : seul le dispositif Pass’Sport croise ces trois bases. De plus, chaque ligne possède un ID spécifique id_psp. Après dédoublonnage intégral, le fichier contient environ 3,5M de foyers uniques. Christophe Boutry sur X
Les jeunes boursiers en première ligne du danger
Le vrai point noir de cette histoire réside dans le ciblage des nouvelles générations. Parmi les victimes potentielles, on compte énormément d’étudiants boursiers et de jeunes tout juste majeurs. Pour eux, c’est souvent le premier contact avec la gestion administrative de leurs propres données de contact, comme leurs téléphones ou leurs mails personnels. S’ils ont fini dans cette base, ils deviennent des cibles de choix pour les escrocs du dimanche et les réseaux organisés. Imaginez un peu la précision du piège : recevoir un message personnalisé alors qu’on attend justement une aide ou un code de réduction. Le risque de confusion est immense, d’autant que ces fichiers permettraient de construire des tentatives de phishing d’un réalisme redoutable, jouant sur la confiance que l’on porte aux institutions publiques.
Le spectre d’une vague de phishing sans précédent
Avec de telles informations dans la nature, le pire est à craindre pour les semaines qui viennent. Les malfrats n’ont même pas besoin d’être de grands génies de l’informatique pour exploiter ce filon. Il leur suffit d’envoyer des milliers de SMS ou de courriels en se faisant passer pour la CAF ou le Ministère des Sports. « Votre prime de Noël nécessite une validation », « votre Pass’Sport arrive à expiration », autant d’accroches qui pourraient faire mouche auprès de personnes déjà fragilisées financièrement. On sait comment ça se termine souvent : un clic sur un lien frauduleux, quelques codes de banque donnés par mégarde et le compte est vidé avant même que l’on ait eu le temps de réagir. La fraîcheur des données permettrait aux fraudeurs d’être d’une efficacité redoutable dans leurs approches.
Une réactivité attendue au tournant
Pour l’instant, le silence règne du côté des autorités. Si la faille est avérée, les responsables devront rendre des comptes, notamment sur la manière dont ces données étaient sécurisées chez leurs partenaires techniques. La CNIL et l’ANSSI devraient logiquement se pencher sur le dossier si ce n’est pas déjà fait. En attendant une communication officielle qui clarifierait la situation, la prudence reste de mise. Il est plus que conseillé de redoubler de vigilance face aux messages suspects et de ne jamais transmettre ses identifiants en suivant un lien reçu par SMS. Cette affaire nous rappelle, de manière assez brutale, que la centralisation de nos vies numériques dans des méga-fichiers d’État est un pari risqué qui peut coûter cher à la moindre négligence d’un prestataire.
Publicité
Que faire si vous pensez être concerné par ce piratage ?
Dans le doute, mieux vaut agir comme si l’on était sur la liste. La première chose à faire est sans doute de jeter un œil à ses différents comptes liés aux aides sociales. Si vous utilisez le même mot de passe partout, c’est le moment idéal pour faire un grand ménage et sécuriser tout ça avec des combinaisons plus complexes. Surveillez aussi vos relevés bancaires plus souvent que d’habitude. Si un inconnu vous appelle en connaissant déjà votre numéro d’allocataire ou votre adresse, ne tombez pas dans le panneau, même s’il se montre très convaincant. Les administrations ne demandent jamais de codes secrets ou de coordonnées bancaires par téléphone. C’est un combat de tous les jours contre des prédateurs qui ne prennent jamais de vacances, même pendant les fêtes.
Mise à jour du 19 décembre : Le Ministère des Sports sort du silence et confirme l’exfiltration
Alors que l’inquiétude grandissait sur les réseaux et les forums spécialisés, le Ministère des Sports, de la Jeunesse et de la Vie associative a finalement publié un communiqué officiel ce vendredi 19 décembre 2025. Le gouvernement y reconnaît explicitement une intrusion dans ses systèmes et, fait marquant, valide le chiffre de 3,5 millions de foyers potentiellement impactés, corroborant ainsi les premières analyses techniques. Voici l’intégralité de la déclaration officielle :
Exfiltration de données provenant d’un des systèmes d’information du Ministère des Sports, de la Jeunesse et de la Vie associative. Le ministère des Sports, de la Jeunesse et de la Vie associative a pris connaissance d’une exfiltration de données issue de l’un de ses systèmes d’information.
Dès la détection de l’incident, les équipes techniques spécialisées du ministère ont été mobilisées afin de vérifier la nature et l’ampleur des données concernées, et de mettre en œuvre les mesures de sécurité adaptées pour faire cesser toute fuite de données. Un dépôt de plainte sera effectué auprès des autorités compétentes et la Commission nationale de l’informatique et des libertés (CNIL) sera saisie dans les 72 heures conformément aux obligations réglementaires. Un travail est en cours afin d’informer, dans les meilleurs délais, les 3,5 millions de foyers concernés, et de leur partager les recommandations et consignes de sécurité à suivre. Communiqué de presse de sports.gouv.fr
Le ministère des Sports alerte enfin les usagers
Le 25 décembre, le ministère des Sports a adressé un courriel officiel aux bénéficiaires du dispositif Pass’Sport pour signaler un incident de sécurité majeur survenu le 18 décembre dernier. Cette intrusion a compromis de nombreuses données personnelles sensibles, incluant l’identité complète, les coordonnées, le numéro de sécurité sociale ou encore les identifiants CAF et CROUS des usagers. Face à un risque accru d’usurpation d’identité, le ministère appelle à une vigilance maximale concernant les sollicitations suspectes et recommande vivement le changement des mots de passe ainsi que le suivi attentif des activités sur les comptes sociaux et administratifs.
Le 18 décembre 2025, les équipes du ministère chargé des sports ont détecté un incident de sécurité ayant conduit à un accès non autorisé à certaines données personnelles vous concernant, enregistrées dans le cadre de la campagne pass Sport. Cet accès non autorisé entraîne une perte de confidentialité des données personnelles traitées dans le cadre du pass Sport, notamment les données collectées par le ministère chargé des sports auprès de la CAF, de la MSA et du réseau des Crous.
Les données concernées sont les suivantes : nom, prénom, date de naissance, sexe, adresse électronique, adresse postale, numéro de téléphone, catégorie d’aide perçue (bénéficiaires de l’Allocation de rentrée scolaire, de l’Allocation d’éducation de l’enfant handicapé, de l’Allocation aux adultes handicapés et les étudiants boursiers), code organisme (n° de dossier ou d’allocataire CAF, n° de sécurité sociale pour les allocataires de la MSA, n° INE pour les titulaires d’une bourse) et code pass Sport.
Dès la détection de cet incident, les accès concernés ont été immédiatement sécurisés et une investigation technique a été engagée afin d’en identifier les causes et d’éviter qu’une situation similaire ne se reproduise. Cet incident est susceptible d’entraîner des risques pour vos droits et libertés, notamment un risque d’usurpation d’identité ou d’utilisation frauduleuse de vos informations… Ministère des Sports
chabot thierry
Passionné d'informatique depuis ses débuts sur PC-1512, Thierry est l'expert référent de TheSiteOueb pour les thématiques liées au Web, aux OS et à la sécurité informatique. Acteur engagé de l'entraide communautaire sous le pseudonyme Cthierry, il met son expertise technique au service des utilisateurs pour décrypter l'actualité numérique et résoudre leurs problématiques quotidiennes.
