Fuite de données UNSS : photos d’élèves exposées L’UNSS confirme une fuite de données touchant les photos d’identité et des informations personnelles de milliers de licenciés.
La fuite de données UNSS est officiellement reconnue par l’Union nationale du sport scolaire, qui affirme que l’incident provient de son outil de gestion OPUSS et remonte à plusieurs mois. Des informations personnelles et des photos d’adhérents auraient été compromises.
Contexte et origine de l’incident
L’UNSS a confirmé mardi 3 mars être victime d’une fuite de données liée à l’outil OPUSS, avec une exfiltration remontant à novembre 2025. Selon l’organisation, elle a immédiatement alerté son prestataire technique et activé les procédures prévues en matière de cybersécurité lorsque la mise en vente supposée de ces données a été évoquée sur un forum.
Cette fuite aurait été associée à une annonce de Dumpsec, qui affirmait posséder 890 000 photos et un ensemble de 7 millions d’enregistrements liés aux licenciés. L’UNSS ne commente pas le volume, mais confirme des données personnelles et des photos d’adhérents compromises.
Ce qui est exposé et ce qui ne l’est pas
Les informations liées aux licences comprennent notamment le nom, le prénom, le genre, la date de naissance, l’établissement scolaire, la classe, la date d’inscription et l’URL de photographie d’identité. Les données financières (RIB, mandats SEPA) et les informations relatives au handicap ne seraient pas concernées pour l’instant.
- Identifiants et données personnelles : nom, prénom, genre, date de naissance, établissement, classe et inscription.
- Photographies d’identité : liens ou accès susceptibles d’être exploités.
- Données non concernées : informations financières et données liées au handicap.
Réaction des autorités et périmètre de l’incident
L’UNSS a notifié l’incident à la CNIL et à l’ANSSI et a mené une analyse des journaux de connexion avec son prestataire. Le compte identifié comme point d’entrée aurait été neutralisé rapidement, sans plus de détails fournis sur l’origine précise de l’accès.
Sur le plan technique, l’affaire rappelle des configurations utilisées par des prestataires comme Exalto via des solutions d’édition de licences, et le fait que le portail OPUSS peut reposer sur des briques telles que E-licence. Ces éléments avaient déjà été pointés lors d’incidents similaires dans le secteur des fédérations sportives.
Contexte et limites — ce qu’on ignore encore
La réalité des périmètres sensibles reste floue: s’agit-il d’un accès isolé ou d’un accès élargi? Si l’enjeu principal concerne les photos d’identité et les identifiants, il demeure nécessaire de clarifier le niveau de risque pour les licenciés et les mesures correctives mises en place par le prestataire et l’organisme.
Pour terminer
Ce type d’incident souligne la nécessité d’une sécurité renforcée pour les outils de gestion des licenciés et d’un contrôle indépendant sur les accès et les flux de données. Plus de transparence et des garanties sur le périmètre restent attendues, afin de rétablir la confiance des établissements et des familles.
