Le célèbre club de football Paris Saint-Germain (PSG) a annoncé la semaine dernière son système de billetterie en ligne avait été la cible d’un piratage. La cyberattaque aurait eut lieu avant la rencontre de Ligue des champions contre Barcelone, tenue mercredi.
Selon la communication officielle du club aux fans, publiée dans Le Parisien, l’incident a été détecté la semaine dernière. L’information a été transmise aux supporters lundi dernier.
« Madame, Monsieur, le 3 avril dernier, la Direction des Systèmes d’Information du Paris Saint-Germain a été interpellée par des tentatives inhabituelles d’accès au système de billetterie du club. Nos équipes ont détecté une vulnérabilité, qu’elles ont résolue en moins de 24 heures. Des mesures de sécurité supplémentaires ont été immédiatement mises en œuvre. »
L’organisation du PSG indique qu’elle a rapidement informé la CNIL de l’incident. Il s’agit de l’autorité de protection des données pour la France. Elle chargée de l’application des lois sur la protection des données de l’Union européenne,
La CNIL pourrait éventuellement infliger une amende à PSG si elle juge que le club a été négligent dans la protection des données des clients. Le RGPD impose d’envoyer un signalement au plus tard dans les 72 heures après la constatation d’une violation. Le PSG indique avoir notifié la violation à la CNIL dès le vendredi 5 avril, ce qui serait conforme à cette exigence légale.
Peu de données exploitables parmi celles exposées
L’organisation du PSG affirme qu’il n’y a actuellement aucune preuve que des données ont été extraites ou exploitées par un tiers malveillant. Le champion de France en titre appelle toutefois tous les supporters à faire preuve de vigilance dans les prochains SMS ou e-mail qu’ils recevront en lien avec le club.
L’organisation avertit également les fans que le système détenait certaines de leurs données personnelles. Celles-ci comprennent notamment les noms, les adresses e-mail et postales, les numéros de téléphone mobile et les dates de naissance.
«En dépit des tentatives constatées, rien n’indique, à ce jour, que des données ont été extraites ou exploitées par un tiers malintentionné», a indiqué le PSG.
L’organisation a répertorié les informations personnelles qui ont pu être exploitées par les pirates. Cela concerne donc les données d’identité et les identifiants des cartes cadeaux. La liste inclus aussi les numéros IBAN partiellement masqués, dont seuls les trois derniers chiffres seraient lisibles.
Aucune donnée critique comme des numéro d’assurance sociale ou de carte bancaire ne semble avoir été compromise. Du moins, si l’on se fie à l’annonce su PSG.
La description de l’incident semble indiquer qu’il s’agit d’une attaque de bourrage d’informations d’identification. De telles attaques sont très courantes sur des plateformes comptant un grand nombre d’utilisateurs. Via celles-ci, les pirates recueillent des informations d’identification qui ont été exposées. Ils les utilisent ensuite généralement pour se connecter à d’autres sites web.
Le piratage du PSG s’inscrit dans une tendance
La description de l’incident semble indiquer qu’il s’agit d’une attaque de bourrage d’informations d’identification. De telles attaques sont très courantes sur des plateformes comptant un grand nombre d’utilisateurs. Via celles-ci, les pirates recueillent des informations d’identification qui ont été exposées. Ils les utilisent ensuite généralement pour se connecter à d’autres sites web.
Les sites de billetteries en ligne sont régulièrement la cible de divers types de cyberattaques. Dans certains, les pirates se contentent de se procurer des billets gratuitement ou presque. Dans d’autres cas, ils arrivent à accéder aux données des autres utilisateurs de la plateforme
Les clubs de football sont aussi souvent ciblés par les cybercriminels. Par exemple, la Royal Dutch Football Association a été ciblée par le ransomware LockBit en 2023. En 2020, une autre cyberattaque avait franchi la sécurité des systèmes de Manchester United. Les fédérations françaises de football et de rugby ont également rapportés avoir été récemment attaquées.
Pour conclure sur le piratage du système de billetterie du PSG
L’organisation du PSG a été plutôt avare d’information et de commentaire sur le piratage dont son système de billetterie a été victime. Il est donc très difficile d’évaluer l’ampleur de l’attaque et ses conséquences potentielles.
Cet incident aura toutefois sans doute un certain impact sur la confiance des partisans envers le système de billetterie en ligne du club. L’organisation devra donc démontrer une certaine transparence dans sa gestion du problème, et s’assurer de mieux protéger son système à l’avenir.
Nous espérons que cet article vous a éclairé sur le piratage dont a été victime le PSG. Si c’est le cas, nous vous invitons à consulter nos autres articles ainsi que nos classements des meilleurs hébergeurs web.