Un pirate se réclamant de la mouvance Shiny Hunters revendique une nouvelle salve d’attaques contre des fédérations sportives françaises, un assureur et un site éducatif, avec des messages politiques à l’appui.
Un pirate informatique, qui dit appartenir à la mouvance Shiny Hunters et se présenter comme originaire d’Afrique du Nord, revendique le piratage de nouvelles fédérations sportives françaises. Il cite notamment la Fédération française de natation, la Fédération française de tennis et, bientôt, le karaté, affirmant disposer déjà d’une exécution de code à distance sur un de leurs serveurs. Le même individu vise aussi un sous-domaine de l’assureur MAIF et le site Ecole en ligne en Belgique. Il modifie des pages web, comme celle de DMC Ware, pour y afficher un slogan Free Palestine et la menace « Your data is now ours » ! Le pirate se présente comme le même acteur à l’origine du piratage récent de la FFF, révélant un ciblage persistant de l’écosystème sportif.
Un pirate revendique une nouvelle série de cibles
Le point de départ de cette séquence est un message de revendication très direct. Le pirate explique avoir compromis plusieurs fédérations sportives françaises, en citant la natation, le tennis et, selon lui, bientôt le karaté. Il accompagne sa déclaration d’un message explicite : Fédération française de natation, de tennis, et d’ici peu de karaté (nous avons déjà une RCE sur un de leurs serveurs) @FFNatation @FFTennis @ffkarate, revoyez vraiment votre sécurité catastrophique. Cette phrase, telle qu’il la formule, associe trois éléments clairs : la liste des cibles, la mention d’une prise de contrôle technique d’un serveur (la RCE) et un jugement très sévère sur la sécurité des structures visées.
L’attaquant revendique son appartenance à la mouvance Shiny Hunters, un courant de pirates déjà identifié dans l’imaginaire cybercriminel. Il affirme par ailleurs venir d’Afrique du Nord. Ce double positionnement, géographique revendiqué et affiliation à une mouvance, sert à construire une identité numérique. On peut en déduire qu’il cherche à être reconnu et à capitaliser sur une forme de réputation dans les communautés de pirates, car plus un acteur est visible, plus ses menaces d’exposition de données sont crédibles aux yeux de ses futures victimes.
L’élément déterminant dans ce cas est la continuité des actions. Le pirate indique être le même individu que celui qui a attaqué la Fédération française de football. Cette affirmation crée un fil rouge : une même personne, avec le même style de communication, cible successivement la FFF, puis d’autres fédérations sportives, avant d’étendre son champ d’action à un assureur et à un site éducatif. Logiquement, cela laisse penser qu’il s’inscrit dans une campagne structurée plutôt qu’un simple coup isolé. L’angle cyber et renseignement consiste donc ici à observer la cohérence des cibles et des messages pour comprendre la stratégie globale de l’attaquant.
Au-delà des fédérations, le pirate cite aussi un sous-domaine de la MAIF, assureur bien connu des particuliers, et le site Ecole en ligne en Belgique. Ces mentions complètent le tableau : à côté du sport, il touche le monde de l’assurance et celui de l’éducation. En reliant ces éléments, on peut raisonnablement considérer qu’il s’intéresse à des environnements où se croisent données personnelles, informations contractuelles et identités numériques de masse, toutes potentiellement exploitables dans des scénarios de fraude, de chantage ou d’ingénierie sociale.
Du sabotage d’image à la prise de contrôle de serveurs
Le pirate met en avant une RCE, pour Remote Code Execution, sur un des serveurs liés au karaté. Concrètement, une RCE signifie qu’il est, selon ses propres termes, capable d’exécuter du code à distance sur une machine cible. D’un point de vue technique, cela revient, si la revendication est exacte, à posséder la capacité de contrôler au moins une partie du système compromis. On peut en inférer qu’il est théoriquement en mesure de lire, modifier ou supprimer des données, d’installer des malwares ou encore d’utiliser ce serveur comme point d’appui pour rebondir vers d’autres systèmes internes.
Parallèlement à ces accès potentiels, l’attaquant pratique le défacement, c’est-à-dire la modification de pages web pour diffuser un message. Dans le cas de la page de DMC Ware, il affiche un slogan Free Palestine, accompagné de la formule nous avons vos données et de la phrase Your data is now ours !. Cette combinaison est importante à analyser. Le slogan politique renvoie à une posture de type hacktiviste, tandis que l’insistance sur la possession de données relève de la logique plus classique de la cybercriminalité centrée sur la captation d’informations.
Ce mélange de registre politique et de menace sur les données sert plusieurs objectifs. Sur le plan de la communication, le message Free Palestine permet de capter l’attention et d’inscrire l’attaque dans l’actualité géopolitique. Sur le plan opérationnel, la phrase Your data is now ours ! vise à instaurer un climat de peur chez la victime et ses partenaires, en suggérant la possibilité de fuites massives ou de ventes de données. En raisonnant à partir de ces éléments, on peut conclure que le pirate n’est pas uniquement dans une logique symbolique de marquage de territoire numérique mais cherche aussi à se positionner comme acteur capable de monétiser ou d’exploiter les informations volées.
Le cas du sous-domaine MAIF et du site Ecole en ligne illustre un autre angle, celui du risque en cascade. Lorsqu’un pirate prouve qu’il est capable de modifier des pages ou de prendre pied sur un sous-domaine, il démontre à la fois des failles techniques et un déficit de surveillance. Un simple défacement visible est souvent seulement la partie émergée de l’iceberg. Par raisonnement, si l’attaquant a réussi à altérer du contenu web, il est possible qu’il ait également exploré les bases de données associées ou d’autres services internes connectés. Cette hypothèse ne doit jamais être écartée lors d’une réponse à incident.
Dans l’écosystème sportif, l’impact dépasse l’image. Les fédérations gèrent des licences, des listes de pratiquants, des encadrants, des arbitres, ainsi que des données d’organisation d’événements. Sans même ajouter d’information externe, on sait qu’il s’agit de bases d’identité nominatives structurées. Si un pirate obtient un accès RCE sur un serveur de fédération, il peut, par simple logique, viser ces ressources : les copier, les chiffrer, les détruire ou les utiliser pour construire des attaques par hameçonnage ciblé contre les licenciés et partenaires.
Un signal d’alarme pour l’écosystème sportif et éducatif
En associant fédérations sportives, assureur et service éducatif, ce pirate dessine un risque systémique. Les fédérations représentent des institutions parfois sous-dotées en moyens cyber, mais riches en données personnelles et en visibilité médiatique. Les assureurs manipulent des informations sensibles sur les contrats et les incidents. Les plateformes éducatives gèrent des comptes de parents, d’élèves et d’enseignants. Sans aller au-delà des éléments fournis, on peut, par simple raisonnement, comprendre pourquoi un attaquant voit dans cet ensemble un terrain particulièrement attractif : une même campagne peut toucher plusieurs secteurs et multiplier les angles d’attaque.
L’épisode de la FFF, puis la mention de la natation, du tennis et du karaté montrent une vraie continuité dans le ciblage du sport français. Chaque nouvelle revendication renforce le message implicite du pirate : les fédérations seraient, selon lui, des cibles faciles. En qualifiant leur sécurité de catastrophique, il cherche autant à humilier publiquement les institutions qu’à convaincre d’éventuels complices ou acheteurs de données que ses intrusions sont réelles. On est ici au croisement entre communication offensive et stratégie de réputation criminelle.
Pour les fédérations et leurs partenaires, la leçon à tirer dépasse la seule correction des failles techniques pointées par l’attaquant. La première étape consiste évidemment à vérifier la réalité des intrusions revendiquées, à engager une réponse à incident complète et à alerter les autorités compétentes. Mais le vrai enjeu, à moyen terme, est de rehausser le niveau de base : cartographie précise des systèmes exposés sur Internet, audit des sous-domaines, contrôle des prestataires web, mise à jour rigoureuse des logiciels, durcissement des accès d’administration et surveillance renforcée des journaux d’événements.
Le cas du site Ecole en ligne en Belgique montre, lui, que les frontières nationales n’ont guère de sens pour un attaquant isolé. Avec le même ensemble d’outils et de méthodes, le pirate passe du sport français à l’éducation en ligne d’un autre pays. C’est un rappel utile : une fédération sportive, un assureur ou une plateforme éducative sont tous, du point de vue du pirate, des nœuds d’un même réseau d’opportunités. Cette vision en écosystème oblige les organisations à raisonner, elles aussi, en chaîne : vulnérabilités partagées, prestataires communs, briques logicielles identiques, autant de points faibles susceptibles d’être exploités en série.
Pour le monde du renseignement économique et de la cybersécurité, ce type de cas illustre une tendance lourde : des attaquants capables de combiner plusieurs registres, de la revendication politique à la menace d’exploitation de données, en s’attaquant à des structures qui n’entrent pas toujours dans la catégorie des infrastructures critiques, mais qui concentrent pourtant des informations massives sur les citoyens. Le sport, l’assurance, l’éducation en ligne deviennent ainsi des terrains d’observation privilégiés de la capacité des États et des organisations à protéger leur surface numérique élargie.
L’affaire de ce pirate se réclamant de la mouvance Shiny Hunters, qui revendique en série des attaques contre la FFF, d’autres fédérations sportives, un sous-domaine de la MAIF, le site Ecole en ligne en Belgique et la page de DMC Ware, rappelle une réalité brute : il suffit d’un seul acteur motivé pour révéler, en quelques jours, les failles accumulées pendant des années. En combinant défacement politique, menaces explicites sur les données et démonstration de contrôle type RCE, il met en lumière la fragilité d’un ensemble d’organisations pourtant au cœur de la vie quotidienne. Il est fort à parier qu’il soit l’un des derniers « fournisseurs » actifs de sites web tel que BreachForums ou encore DarkForums.
