Olympique de Marseille : 400 000 supporters de l’OM potentiellement victimes d’un piratage

Un vent de panique sur les forums spécialisés

L’alerte a été donnée par des veilleurs de l’ombre, ces spécialistes qui parcourent les recoins les moins fréquentables du web pour débusquer les activités malveillantes. C’est sur BreachForums, une plateforme tristement célèbre pour le commerce de fichiers volés, qu’une annonce aurait été publiée. Un utilisateur y proposerait à la vente une base de données appartenant au club marseillais. D’après les premières analyses partagées par des experts comme Christophe Boutry, ce ne serait pas une faille insignifiante sans conséquence, mais bien un accès profond qui aurait permis d’extraire des fichiers sensibles. Le timing de cette publication, ce 23 février, met les services informatiques sous une pression immédiate, alors que la nouvelle commence à se répandre comme une traînée de poudre sur les réseaux sociaux.

Une faille dans le CMS Drupal aurait tout déclenché

Selon les éléments qui circulent actuellement, les assaillants auraient profité d’une vulnérabilité majeure au sein du système de gestion de contenu du site officiel, le fameux CMS Drupal. Ce dernier est la colonne vertébrale numérique sur laquelle repose toute l’architecture web de l’institution. En réussissant à le compromettre totalement, les hackers auraient obtenu les clés du site. Cela leur aurait permis de s’infiltrer partout, des comptes des simples visiteurs jusqu’aux accès privilégiés utilisés par les employés et les développeurs qui gèrent la plateforme au quotidien. Ce genre d’intrusion est particulièrement redouté car il ne se limite pas à une simple lecture de données. Cependant, il suggère que les pirates auraient pu explorer les moindres recoins de l’infrastructure logicielle pendant un certain temps avant de passer à l’action.

Une mine d’or d’informations personnelles en vente

Le contenu de ce fichier a de quoi faire froid dans le dos à n’importe quel abonné ou acheteur occasionnel de la boutique officielle. On y retrouverait l’essentiel de l’identité civile des victimes : leurs noms, prénoms, mais également des éléments plus privés comme les dates de naissance ou les adresses électroniques. Plus inquiétant encore pour la vie quotidienne, les coordonnées postales complètes et les numéros de téléphone seraient de la partie. Quand on sait à quel point ces informations sont prisées pour mener des campagnes de phishing ciblées ou des arnaques téléphoniques, le danger est bien réel pour les personnes concernées. Ce n’est pas simplement une liste de mails, c’est un véritable portrait-robot de chaque client qui serait mis à prix.

La fidélité des supporters au cœur du piratage

Au-delà de l’état civil, les pirates auraient mis la main sur le volet commercial de la relation entre le club et ses fans. L’historique des commandes, que ce soit pour de la billetterie ou des produits dérivés, figurerait en bonne place dans les colonnes dérobées. On pourrait y voir les montants dépensés, les types de produits achetés et même le statut des livraisons. Les programmes de fidélité ne seraient pas épargnés non plus, avec les codes de cartes et les paliers de récompense associés. Ce niveau de précision permettrait à des escrocs de créer des messages extrêmement crédibles, en se faisant passer pour le service client de l’om afin de soutirer des informations encore plus sensibles, comme des coordonnées bancaires.

Le club n’a pas encore confirmé ou infirmé le piratage

Pour l’instant, les instances officielles du club n’ont pas encore pris la parole pour confirmer ou infirmer ces allégations. Cette absence de communication, bien que frustrante pour les fans, reste assez classique dans les premières heures d’un incident de cette ampleur. Le temps est sans doute à l’évaluation des dégâts et à la vérification technique de ce qui a pu être aspiré. Toutefois, la réglementation européenne impose des règles strictes en la matière, obligeant toute organisation victime d’une fuite à prévenir la CNIL dans un délai de 72 heures. Si les preuves s’accumulent et que le contenu de la fuite est authentifié, l’OM devra rapidement sortir du bois pour rassurer ses supporters et leur donner la marche à suivre pour protéger leurs accès.

Un contexte de cybercriminalité de plus en plus agressif

Cette affaire ne sort pas de nulle part. Elle s’inscrit dans une vague d’attaques qui semble s’intensifier ces derniers temps contre les grandes enseignes et les services officiels de l’état, ce qui montre que les réseaux de hackers sont particulièrement actifs en ce début d’année 2026. Pour les observateurs du secteur, la fiabilité de la source ayant relayé l’information concernant l’OM est jugée sérieuse, ce qui renforce l’idée que le risque est bien concret. Les supporters sont donc invités à la plus extrême prudence, car le silence médiatique des grandes chaînes d’information à cet instant ne signifie pas que le danger est inexistant.

Comment se protéger si l’on craint d’être concerné

En attendant une communication officielle qui viendra mettre les points sur les i, quelques réflexes de base s’imposent pour quiconque possède un compte sur la plateforme marseillaise. Le premier conseil, presque un automatisme aujourd’hui, est de changer son mot de passe sans attendre, surtout si celui-ci est utilisé sur d’autres sites. L’activation de l’authentification à double facteur est aussi une barrière indispensable pour bloquer une tentative de connexion frauduleuse, si elle est possible. Il faut rester extrêmement vigilant face aux mails ou aux SMS reçus dans les prochains jours, même s’ils semblent provenir d’une source officielle. Un pirate qui connaît votre dernier achat de maillot sera beaucoup plus convaincant qu’un brouteur lambda pour vous piéger.

Une épreuve pour l’image de marque du club

Si les faits sont avérés, au-delà du problème technique, c’est une véritable crise de confiance qui s’annonce. Le lien entre un club et ses supporters repose sur la passion, mais également sur la sécurité des échanges. Se faire voler ses données parce que l’on a voulu acheter une place pour un match de gala laisse forcément un goût amer. L’OM va devoir faire preuve de transparence et montrer qu’il prend la défense de ses fans aussi sérieusement sur le terrain numérique que sur la pelouse.

Mise à jour : communiqué officiel de l’Olympique de Marseille

L’Olympique de Marseille informe avoir récemment fait l’objet d’une tentative d’intrusion informatique, dans un contexte national et international marqué par une recrudescence d’attaques visant de grandes organisations.

Grâce à la mobilisation immédiate de nos équipes techniques et de nos prestataires spécialisés, la situation a été rapidement maîtrisée. À ce jour, toutes nos activités peuvent se poursuivre normalement, en toute sécurité, et nous continuons nos investigations sur le périmètre concerné. Le club tient à rassurer ses supporters : les données bancaires et les mots de passe n’ont pas été compromis.

La protection des données personnelles et la confiance de nos supporters restent notre priorité absolue. À ce titre, une procédure a été engagée auprès des autorités compétentes, notamment la CNIL, et une plainte va être déposée.

Nous encourageons également chacun à adopter les bonnes pratiques en matière de sécurité numérique : renforcer ses mots de passe, rester vigilant face aux tentatives de phishing, et signaler toute activité suspecte.

Un point de contact dédié a été créé pour répondre à toutes vos questions : privacy AT om.fr.