Alors qu'il doit affronter le FC Barcelone mercredi en Ligue des champions, le PSG a été victime, il y quelques jours, d'une cyberattaque. La billetterie en ligne du club a été visée.
Souhaitons au PSG que ce ne soit pas le début des mauvaises nouvelles. Car le mercredi 3 avril 2024, la direction des systèmes d'information (DSI) du club de la capitale a subi une attaque informatique sur sa billetterie en ligne. Si la faille a été résolue, le Paris Saint-Germain a bien confirmé, dans un communiqué, une violation de données, certaines plus ou moins sensibles. Alors que s'est-il passé et que faut-il en retenir ?
Un accès potentiel aux données personnelles des clients de la billetterie du PSG
Le 3 avril donc, les équipes informatiques du PSG ont eu vent de tentatives d'accès inhabituelles sur leur système de billetterie. Elles ont alors détecté une faille qui, selon le club, a été résolue en moins de 24 heures. Rapidement, des mesures de sécurité supplémentaires ont été mises en oeuvre.
Si le PSG précise que rien n'indique que des données ont pu être collectées et exploitées par des pirates informatiques ou autres individus malveillants, il confirme tout de même la violation de données. Le champion de France en titre de football appelle tous les supporters à faire preuve de vigilance dans les prochains SMS ou courriers électroniques en lien avec le club qu'ils pourront ouvrir.
Là où le ou les pirates ont pu pénétrer, ils ont pu potentiellement avoir accès à des données d'identité comme les nom, prénom(s), adresses postale et e-mail, date de naissance, statut du compte et numéro de mobile. Les numéros IBAN font aussi partie du jeu de données, mais les trois derniers chiffres seulement étaient visibles.
09 avril 2024 à 08h03
Le PSG dans les clous de la réglementation en matière de violation de données
Outre le renforcement des mesures de sécurité, le club a aussi, par précaution, renouvelé les identifiants des cartes cadeaux, qui étaient aussi accessibles aux pirates. Quant au respect de la réglementation européenne sur la question, le fameux RGPD, le PSG indique avoir notifié la violation à la CNIL, le gendarme des données, dès le vendredi 5 avril. Le club est donc dans les clous, puisque le RGPD impose un signalement au plus tard dans les 72 heures après la constatation de la violation.
Clément Domingo, aka SaxX, rappelle que les billetteries de site internet sont régulièrement la cible de pirates informatiques. « On peut trouver plusieurs failles de sécurité allant du simple fait d'acheter presque gratuitement un billet au fait que l'on puisse accéder aux données des autres utilisateurs de la plateforme », ajoute le hacker éthique, qui avait déniché plusieurs failles dans la billetterie de la Coupe d'Afrique des Nations 2024.
Cette attaque montre bien que le sport fait aussi partie des secteurs visés par les cybercriminels. Les fédérations françaises de football et de rugby figurent parmi les cibles récemment attaquées. Ce secteur l'est d'autant plus, et surtout en France, que nous sommes à désormais 108 jours des Jeux olympiques de Paris 2024.
21 novembre 2024 à 11h06