FSPN piratée : 224 000 policiers et 14 ans de données, Misère revendique

La Fédération sportive de la police nationale (FSPN) a publié le 21 juin 2026 un communiqué national confirmant une cyberattaque survenue entre le 19 et le 20 juin sur son logiciel de gestion des licenciés. L'incident touche jusqu'à 224 076 personnes — principalement des fonctionnaires de police, des adhérents et des participants aux activités sportives organisées par la fédération depuis 2012, selon le décompte rapporté par INCYBER. La revendication est portée par le pseudonyme Misère.

Ce qui est exposé

Le périmètre publié sur les canaux de revendication, recoupé par INCYBER et FrenchBreaches, désigne quatorze années de base métier — couche identitaire et couche d'activité, dans le même export :

• Identité civile : nom, prénom, sexe, date de naissance.
• Identité professionnelle : matricule, grade, service d'affectation.
• Coordonnées : adresses électroniques, numéros de téléphone.
• Données sportives et médicales : environ 180 000 certificats médicaux, près de 380 000 licences sportives.
• Données d'activité : plus d'un million de convocations à des compétitions, stages et manifestations, plusieurs centaines de milliers de documents administratifs associés.

La présence conjointe du matricule et du service d'affectation sort largement du périmètre d'une base associative classique : la base de la FSPN est, de fait, un sous-ensemble qualifiant qui rattache une personne à un agent du ministère de l'Intérieur, à un poste, et à une dossier médical sportif.

Statut de l'attribution

Misère revendique seul l'opération. Aucune affiliation à un groupe ransomware n'est annoncée, aucun chiffrement n'est mentionné par la FSPN — le mode opératoire publié à ce stade reste l'exfiltration suivie d'une mise en vente, conforme aux précédentes revendications de l'acteur.

Misère apparaît depuis le printemps 2026 sur plusieurs fuites visant le secteur public français : Tchap (voir notre analyse de la fuite des 73 000 agents de l'État), RATP (62 000 agents), JeVeuxAider (558 000 bénévoles), IDNot/Conseil supérieur du notariat (analyse), ainsi qu'une co-revendication récente avec ChimeraZ sur Autosur. Le ciblage répété d'administrations, opérateurs publics et fédérations professionnelles françaises est la signature opérationnelle stable du compte.

L'authenticité globale du lot n'est pas indépendamment confirmée à ce stade. La FSPN précise que l'incident est désormais contenu, qu'une plainte a été déposée et que la CNIL a été saisie.

Périmètre du risque

Pour les fonctionnaires de police dont le matricule et le service apparaissent, la combinaison nom + matricule + affectation + certificat médical est un kit d'OSINT ciblé et de prétextage parfaitement utilisable :

• Ingénierie sociale interne : courriers ou appels prétendument issus de la hiérarchie ou des services RH, exploitant le numéro de matricule comme preuve d'identité.
• Doxing ciblé d'agents identifiables, avec un risque particulier pour les personnels en service sensible (renseignement, lutte anti-terroriste, services spécialisés) dont la dissociation entre vie professionnelle et activité sportive de la fédération n'est plus garantie.
• Reconstitution d'organigrammes par recoupement matricule/grade/service sur une période de quatorze ans, exploitable pour cartographier des unités.
• Fraude administrative sur les dossiers médicaux sportifs (faux certificats, usurpation pour visites médicales d'aptitude).

Que faire

1. Agents licenciés à la FSPN entre 2012 et 2026 : considérer comme compromis le couple identité civile + matricule + service. Toute sollicitation entrante (mail, SMS, appel) mentionnant un de ces éléments à titre de vérification doit être recoupée par canal hiérarchique authentifié avant action.
2. Personnels en service sensible : signaler sans délai au service de sécurité interne tout contact ou message exploitant ces données. Demander une revue des éléments d'OSINT vous concernant et, le cas échéant, le retrait d'éléments publics qui se recouperaient avec la base.
3. FSPN — DSI et prestataires : auditer en priorité les accès au logiciel de gestion des licenciés et aux exports adjacents. Un export de 14 ans de données + ~1 million de convocations + 180 000 PDF de certificats représente un volume de transfert sortant qui doit être visible dans la télémétrie réseau. Le périmètre des comptes prestataires avec droits de lecture étendus est à passer en revue immédiatement.
4. Ministère de l'Intérieur — DNSIC : la base FSPN n'est pas un fichier souverain mais elle est, par construction, un annuaire indirect d'agents. Une coordination avec l'ANSSI et la sous-direction de la lutte contre la cybercriminalité (SDLC) sur la circulation aval du lot s'impose.
5. CNIL : la notification est déjà engagée par la FSPN. L'information individuelle des personnes est requise compte tenu du niveau de risque (matricule + données médicales + 14 ans de profondeur), au-delà de la communication générale du communiqué national.

Contexte

C'est la cinquième fuite revendiquée par Misère sur le secteur public français en moins de quatre mois. Le compte vise un schéma cohérent : applicatifs métier d'opérateurs ou de fédérations adjacentes à l'État, dont la sécurité opérationnelle est inférieure à celle des systèmes ministériels mais dont la donnée traitée est, en pratique, une donnée d'agent public. Tchap, RATP, JeVeuxAider, IDNot et désormais FSPN dessinent une cartographie d'attaques où la cible n'est pas le SI régalien — trop dur — mais le maillon associatif, mutualiste ou fédératif qui en collecte le miroir.

La répétition de l'angle d'attaque — logiciel métier d'une association de fonctionnaires — devrait conduire les autres fédérations sportives ministérielles (Défense, Justice, Finances) à passer leur propre fournisseur de gestion des licenciés en revue immédiate. La probabilité que le prochain lot revendiqué par Misère vienne du même type de plateforme, chez un autre opérateur, est élevée.