Skip to content
hacker_posts

Le Compte Asso : le ministère des Sports notifie une fuite, 227 000 dossiers revendiqués

Le 26 juin, le ministère des Sports a notifié par courriel les utilisateurs de Le Compte Asso d'un incident de sécurité. Un pseudonyme « lestenebreswallah » revendique 227 000 dossiers avec IBAN.

Publié le 5 min de lecture
fuiteministere-sportscompte-assofrancebreachforums

Le ministère des Sports, de la Jeunesse et de la Vie associative a notifié par courriel le 26 juin 2026 les utilisateurs du portail Le Compte Asso (lecompteasso.associations.gouv.fr) d'un incident de sécurité ayant entraîné une exfiltration de données depuis l'application de gestion des demandes de subvention. La notification intervient six jours après une revendication parue le 20 juin sur un forum cybercriminel : un pseudonyme « lestenebreswallah » y propose à la vente une base présentée comme un export de 227 000 enregistrements issus de asso.gouv.fr, dont des informations bancaires (IBAN, BIC) associées aux dossiers de subvention. La synthèse de référence côté presse spécialisée est celle de cyberattaque.org ; InCyber confirme la notification ministérielle et l'ordre de grandeur.

Ce que fait Le Compte Asso

Le Compte Asso est le guichet unique par lequel les associations françaises déposent leurs demandes de subvention auprès des services de l'État — notamment l'Agence nationale du Sport, le dispositif Pass'Sport, et l'ensemble des dispositifs de soutien gérés via associations.gouv.fr. Le portail centralise donc, par construction, identité du dirigeant + identité de l'association + coordonnées + RIB — précisément le quatuor le plus rentable côté fraude au virement.

Données revendiquées

L'échantillon publié par lestenebreswallah, tel que repris par cyberattaque.org, contient pour chaque enregistrement :

  • État civil : nom, prénom.
  • Fonction au sein de l'association : président, trésorier, secrétaire, signataire.
  • Coordonnées professionnelles : téléphone, courriel.
  • Coordonnées bancaires : IBAN, BIC, banque, localisation de la banque.

Le volume revendiqué — 227 000 enregistrements — n'a pas été confirmé par le ministère, qui n'a pas non plus communiqué de chiffre alternatif. Les reprises mentionnent par ailleurs une estimation haute jusqu'à 270 000 structures côté revendication, à considérer comme un majorant non vérifié.

Réponse officielle

Selon les éléments repris par cyberattaque.org et InCyber, le ministère :

  • a notifié la CNIL au titre de l'article 33 du RGPD ;
  • a déposé plainte auprès du procureur de la République de Paris ;
  • a prévenu individuellement les utilisateurs concernés par courriel le 26 juin.

Aucun avis CERT-FR distinct n'a été publié à ce jour. Aucun communiqué public du ministère sur son propre site n'a, au moment de cet article, repris le détail de l'incident — la notification individuelle est, à ce stade, le seul canal officiel.

Statut de l'attribution

Le pseudonyme lestenebreswallah est, à ce stade, inconnu du paysage habituel des revendications publiques françaises de 2026 — ni proche du duo Misere/ChimeraZ qui domine la chronique immobilière depuis le printemps (voir notamment Capifrance, Digit RE Group ou Krys), ni rattaché à Saturne, l'acteur ayant revendiqué la fuite Insee la semaine dernière. Le vecteur d'entrée n'est pas public : ni le ministère ni les reprises ne précisent à ce stade s'il s'agit d'un compte compromis, d'une vulnérabilité applicative, ou d'un accès tiers — l'investigation est en cours.

Que faire

  1. Dirigeants et trésoriers d'associations utilisant Le Compte Asso : considérer comme hostile par défaut tout message — courriel, SMS, appel — réclamant un changement d'IBAN, une « régularisation » de subvention, une « relance » d'un dossier en cours ou une demande de confirmation de RIB. Vérification systématique par appel sortant vers un numéro publié sur associations.gouv.fr, jamais en réponse à un canal entrant.
  2. Banques des associations concernées : armer un filtre fraude au virement sur les changements d'IBAN entrants sur les comptes d'association. La combinaison fonction connue + IBAN connu + courriel connu permet, pour un attaquant, de monter une fraude au président crédible visant les flux de subvention.
  3. DSI ministérielle et opérateurs publics gérant des portails à RIB collectés : la valeur du jeu de données revendiqué tient à la combinaison identité dirigeant + RIB de structure plus qu'à la masse de comptes. Auditer les droits d'export massif côté back-office, et plafonner la volumétrie de toute extraction sortante via un compte unique — c'est le contrôle le moins cher pour rendre une exfiltration de 227 000 lignes plus bruyante.
  4. RSSI publics : intégrer l'incident au registre RGPD. Suivre la communication CNIL — une sanction Free de 42 M€ a été prononcée le mois dernier sur un dossier voisin (notification tardive + données bancaires) ; le précédent existe.
  5. Veille forums : surveiller les places de marché habituelles et les chaînes Telegram cybercriminelles où lestenebreswallah pourrait publier la base complète, jusqu'ici annoncée à la vente sans modalité de diffusion arrêtée.

Contexte

L'incident s'inscrit dans une séquence ininterrompue de fuites touchant la sphère publique française depuis le printemps : Tchap / DINUM, JeVeuxAider.gouv.fr, FSPN, RATP, Insee, Nantes Métropole, Rennes Métropole. La constante n'est plus une faille spécifique mais le rythme — un guichet État compromis par semaine — et la composition des jeux exfiltrés : agents, bénévoles, dirigeants associatifs, fonctionnaires territoriaux, à chaque fois avec assez de granularité métier pour rendre le phishing ciblé crédible. La spécificité du Compte Asso, c'est l'ajout du RIB au jeu de coordonnées — ce qui fait basculer le profil de risque depuis l'hameçonnage générique vers la fraude au virement caractérisée.

Articles liés