La Fédération Française de Rugby (FFR) annonce avoir été la victime d'une cyberattaque par ransomware. Elle a eu lieu en début de mois, dans la nuit du mercredi 7 juin au jeudi 8 juin. Selon la FFR, la cyberattaque a principalement affecté les serveurs de messagerie.

Dans sa communication grand public qui peut sembler tardive, la FFR assure avoir transmis une notification initiale de l'incident auprès de la Commission nationale de l'informatique et des libertés (Cnil) dans les 72 heures. C'est une obligation légale à la suite de la constatation d'une violation de données à caractère personnel.

Les usagers du système d'information touché ont été prévenus de dysfonctionnements. Une information plus précise leur sera adressée lorsque les implications de la cyberattaque seront définitivement connues. Le système d'information a été sécurisé et rétabli.

Des conséquences encore floues

" La FFR continue, en lien avec les autorités, à rechercher et analyser les données qui auraient pu être exfiltrées dans le cadre de cette attaque, y compris les emails, les contacts et les informations de calendrier. "

Chiffrés lors de l'attaque, les logs d'une partie des boîtes de messagerie n'ont pas pu être récupérés.

Pour le moment, les conséquences de la cyberattaque demeurent relativement floues. La FFR indique ne pas avoir reçu de demande de rançon. Le cas échéant, elle ajoute qu'elle n'a pas l'intention de payer une rançon.

play-ransomware-ffr-revendication

Une revendication du groupe Play

Via son portail en .onion caché sur le réseau Tor, le groupe de ransomware revendique depuis mercredi la cyberattaque contre la Fédération Française de Rugby. Il évoque des données personnelles et privées en sa possession, des documents sur des clients et employés, des passeports, des informations de ressources humaines et autres.

Alors que la quantité de données exfiltrées n'est pas précisée, une divulgation publique est prévue pour le 27 juin prochain. L'ultimatum est donc lancé.

Les premières campagnes d'attaques du groupe Play (ou PlayCrypt) remontent à mi-juillet 2022. En France, il a par exemple déjà mené une cyberattaque contre le conseil départemental des Alpes-Maritimes et affectionne les systèmes de messagerie.