DataDome révèle une recrudescence inquiétante des cyberattaques automatisées visant plus de vingt fédérations sportives françaises depuis décembre.

L’année 2026 débute sous le signe de la vigilance numérique pour le monde du sport français. Alors que les organisations sportives poursuivent leur transformation digitale, une menace silencieuse mais massive pèse sur leurs infrastructures. DataDome (https://data-dome.com/), spécialiste français de la protection contre la cyber-fraude à l’échelle mondiale, tire la sonnette d’alarme concernant une vague d’attaques sans précédent ciblant les associations et fédérations.

Le constat est sans appel : plus de vingt fédérations sportives tricolores sont déjà victimes de ces offensives numériques. L’analyse des flux récents démontre une industrialisation des méthodes des cybercriminels, qui n’hésitent plus à déployer des armadas de robots (bots) pour saturer les serveurs et exfiltrer des données sensibles.

Une offensive de mi-décembre aux proportions inédites

L’ampleur du phénomène a été mise en lumière par un pic d’activité malveillante survenu à la mi-décembre 2025. Un client du secteur sportif, dont l’identité est protégée, a subi une attaque massive totalisant plus de 48 millions de requêtes illégitimes. Cette offensive coordonnée illustre la puissance de frappe des réseaux de bots actuels, capables de générer un trafic artificiel colossal pour submerger les défenses traditionnelles.

Parmi les signaux faibles détectés par les experts en cybersécurité, deux statistiques révèlent la nature précise de ces attaques. D’une part, la création de faux comptes a atteint des sommets avec 10,5 millions de tentatives. D’autre part, le « credential stuffing » (bourrage d’identifiants) a représenté 5,4 millions de requêtes.

L’industrialisation du vol de données

Ces chiffres ne sont pas anodins. Ils traduisent une stratégie claire de la part des attaquants : l’exploitation industrielle des fuites de données. Le « credential stuffing » consiste à utiliser des combinaisons d’identifiants et de mots de passe dérobés sur d’autres sites pour tenter de se connecter frauduleusement aux plateformes des fédérations. L’objectif est purement économique. Les cybercriminels cherchent à monétiser ces accès compromis via la prise de contrôle de comptes, la fraude directe ou la revente d’informations sur les marchés parallèles.

La création massive de faux comptes, quant à elle, sert souvent à polluer les bases de données, à tester la validité de cartes bancaires ou à préparer des escroqueries futures. Cette automatisation permet aux pirates d’opérer à grande échelle avec un coût opérationnel minime.

Des bases de données riches et vulnérables

Pourquoi le secteur du sport est-il devenu une cible privilégiée en ce début d’année 2026 ? La réponse réside dans la nature même des informations détenues par ces organismes. Jerome Segura (https://www.linkedin.com/in/jeromesegura/), VP of Threat Research chez DataDome, apporte un éclairage technique sur cette vulnérabilité structurelle.

« Les fédérations sportives concentrent énormément de données à forte valeur. Licences, certificats médicaux, coordonnées bancaires, comptes bénévoles et administrateurs », explique l’expert. Ces informations sont des mines d’or pour l’ingénierie sociale et le vol d’identité.

De plus, la structure même de ces bases de données facilite parfois la tâche des assaillants. « Ce sont des bases très larges, souvent peu segmentées, donc parfaites pour le credential stuffing et la revente de comptes. Pour des cybercriminels, le ratio effort versus gain est excellent », précise Jerome Segura.

Vers une année 2026 sous tension

Cette recrudescence des attaques marque un tournant dans la gestion de la sécurité informatique pour le monde associatif et sportif. La protection des données des licenciés, incluant des informations de santé et financières, devient un enjeu critique de conformité et de confiance.

Les experts de DataDome, dont Benjamin Barrier, cofondateur et Chief Strategy Officer, continuent de surveiller l’évolution du trafic web, notamment face à l’émergence d’agents pilotés par l’intelligence artificielle qui pourraient complexifier encore davantage la détection des menaces au cours de l’année 2026.