Dinamo : l'incident de sécurité n'a pas directement touché les sites du club, les cartes et les mots de passe n'ont pas été compromis
Le GNK Dinamo a publié le 3 juin 2026 une notification mise à jour concernant l'incident de sécurité après que, la veille, des allégations étaient apparues au sujet d'une possible fuite de données liées aux membres du club. Selon la publication du club, les informations actuellement disponibles indiquent que l'incident ne s'est pas produit directement sur les sites web du GNK Dinamo. Le club indique que les données relatives aux cartes bancaires et les mots de passe n'ont pas été touchés, mais confirme que l'incident a porté sur des catégories limitées de données personnelles d'une partie des membres. Dinamo a déclaré que les personnes concernées ne seraient pas informées seulement par une publication publique, mais aussi individuellement, par courrier électronique, si l'incident concerne leurs données. Dans le même communiqué, le club appelle à la prudence en raison de possibles faux messages, en particulier dans la période suivant les informations publiques sur l'événement de sécurité.
Le club a fait appel à des experts externes
Selon la notification mise à jour du GNK Dinamo, après la réception d'informations sur un possible incident de sécurité, une enquête interne a été lancée, et des experts externes, indépendants, en sécurité et d'autres spécialistes ont été associés à la procédure. Le club indique que l'objectif de l'enquête est d'établir les circonstances de l'incident, son ampleur et les conséquences possibles pour les membres dont les données se trouvent dans les systèmes utilisés par Dinamo. Dans sa publication, Dinamo s'est également référé aux informations obtenues auprès du sous-traitant, affirmant que, selon ces informations, il n'existe pas de danger d'autres incidents du même type. Une telle formulation indique que le rôle de systèmes externes ou de partenaires qui traitent certaines données au nom du club est également vérifié, mais la notification publiquement disponible ne fournit pas de description technique détaillée de l'attaque. Le club a en outre déclaré que des actions sont entreprises pour renforcer la sécurité de toutes les données, sans mentionner de mesures techniques concrètes.
Dinamo souligne que, selon les informations obtenues jusqu'à présent, l'incident n'a pas concerné tous les membres ni les mêmes catégories de données pour chaque personne. Le club a indiqué que les catégories potentiellement touchées peuvent inclure le prénom, le nom, l'OIB, les coordonnées ainsi que d'autres données si un membre les a lui-même laissées dans le système. Cette différence est importante parce que le risque pour une personne ne dépend pas seulement du fait qu'un système ait été touché, mais aussi du type de données qui était disponible, de la quantité de données liées à la même personne et de la possibilité d'utiliser cette combinaison à des fins de fraude ou d'usurpation d'identité. Dinamo annonce donc une notification individuelle des personnes auxquelles l'incident se rapporte. Pour les questions et préoccupations liées aux données, le club a indiqué dans la notification le contact de son délégué à la protection des données, l'adresse dpo@gnkdinamo.hr.
Ce qui n'a pas été touché selon la publication du club
Le message le plus important de la notification mise à jour de Dinamo concerne les données financières et d'accès. Le club indique explicitement que les données de cartes et les données relatives aux mots de passe n'ont pas été touchées. Cette information réduit sensiblement une partie du risque immédiat qui existerait en cas de compromission des numéros de cartes, des codes de sécurité ou des identifiants d'accès aux comptes utilisateurs. Toutefois, cela ne signifie pas que les données personnelles éventuellement incluses dans l'incident ne peuvent pas être utilisées abusivement. Le prénom et le nom, l'OIB, l'adresse e-mail, le numéro de téléphone ou l'adresse de résidence peuvent servir à rendre de faux messages plus convaincants, à des tentatives d'ingénierie sociale, à une usurpation d'identité ou à une combinaison avec des données provenant d'autres sources.
Selon de précédents reportages médiatiques, la nouvelle d'une possible attaque de pirates informatiques s'est répandue le 2 juin 2026, lorsque des allégations ont été publiées selon lesquelles les données des membres de Dinamo avaient été compromises. Dans le contexte de ces allégations, Index a écrit que des publications liées à l'attaque mentionnaient environ 50 000 enregistrements, soit 52 009 enregistrements uniques, et qu'un groupe se présentant comme un groupe de pirates informatiques serbe était mentionné comme signataire de l'attaque présumée. Ces allégations n'ont pas été entièrement confirmées par la notification de Dinamo. Dans son communiqué mis à jour, le club a confirmé la portée limitée de l'incident et certaines catégories de données personnelles, mais n'a pas publié le nombre définitif de membres touchés ni les détails techniques sur la source de l'incident. Pour cette raison, il est à ce stade plus précis de parler d'un incident de sécurité à portée limitée, en précisant que les détails reposent toujours sur des informations disponibles, et non définitives.
Pourquoi les membres ont été spécialement avertis au sujet des faux messages
Dans sa publication, Dinamo a conseillé aux membres la prudence face aux e-mails suspects et faux, le changement régulier des mots de passe ainsi que l'utilisation de mots de passe suffisamment complexes. Ce type d'avertissement est habituel après des incidents dans lesquels des coordonnées ont peut-être été touchées, car les attaquants n'ont pas besoin de posséder un mot de passe ou des données de carte pour tenter une fraude. Il leur suffit de disposer de données personnelles crédibles afin de rendre le message plus convaincant. Par exemple, un faux message peut ressembler à une notification du club, à une invitation à confirmer l'adhésion, à une prétendue vérification de compte utilisateur, à un remboursement, au paiement d'une cotisation ou à une mise à jour des données de carte. Si un tel message est envoyé à une personne dont les données de base sont connues, la probabilité que le destinataire réagisse sans vérification supplémentaire peut être plus élevée.
L'Agence croate pour la protection des données personnelles, dans ses conseils sur les attaques de phishing, avertit qu'en cas de messages suspects il ne faut pas ouvrir les liens ni saisir de données personnelles ou de carte si une action inhabituelle est demandée. La Direction de la police indique dans ses documents de prévention sur les fraudes sur internet que des fraudeurs tentent, par de faux e-mails, SMS ou appels téléphoniques, d'amener les citoyens à partager des données personnelles, financières ou de sécurité. Dans le contexte de la notification de Dinamo, cela signifie qu'il faut accorder une attention particulière à l'expéditeur, à l'adresse du lien, aux fautes de grammaire, aux demandes inhabituelles de paiement urgent et à toute demande de saisie d'un mot de passe ou d'une carte sur une page à laquelle on accède depuis un message. Si un message suscite des soupçons, il est plus sûr d'ouvrir manuellement le site officiel du club ou de contacter le contact officiel, au lieu de cliquer sur un lien dans un e-mail.
Le cadre juridique plus large : quand AZOP et les personnes concernées sont informées
Les incidents de sécurité impliquant des données personnelles dans l'Union européenne sont évalués dans le cadre du Règlement général sur la protection des données, connu sous le nom de RGPD. AZOP indique que le responsable du traitement, en cas de violation de données personnelles, doit sans retard injustifié et, si possible, au plus tard dans un délai de 72 heures après avoir pris connaissance de la violation, informer l'Agence pour la protection des données personnelles si la violation est susceptible d'engendrer un risque pour les droits et libertés des personnes. AZOP indique également que, si la violation est susceptible d'engendrer un risque élevé pour les personnes concernées, le responsable du traitement doit aussi informer sans retard injustifié les personnes auxquelles se rapportent les données, dans un langage clair et simple. Les obligations dans un cas concret dépendent de l'évaluation du risque, de la nature des données touchées, du nombre de personnes, des conséquences possibles et des mesures de protection qui avaient été appliquées.
AZOP souligne dans ses instructions que tout incident de sécurité n'est pas en même temps une violation de données personnelles, mais que tout incident impliquant des données personnelles doit être évalué sans délai. Une violation de données personnelles, selon AZOP, peut concerner la confidentialité, la disponibilité ou l'intégrité des données, par exemple en cas d'accès non autorisé, de perte d'un appareil, d'envoi de données au mauvais destinataire ou d'attaque par rançongiciel. Dans le cas de Dinamo, le club parle publiquement d'un possible incident de sécurité, de catégories limitées de données personnelles et de notification individuelle des membres auxquels l'incident se rapporte. La notification publique disponible ne permet pas de déduire la qualification juridique définitive de l'incident ni les détails d'éventuelles notifications au régulateur, de sorte que l'on ne peut conclure que ce que le club a directement indiqué : une enquête a été lancée, des experts ont été engagés, et le public ainsi que les membres touchés doivent être informés des faits pertinents.
Le rôle du sous-traitant et l'importance de la transparence
La notification de Dinamo mentionne des informations obtenues auprès du sous-traitant. AZOP indique dans ses explications que le responsable du traitement est la personne ou l'organisation qui détermine les finalités et les moyens du traitement des données personnelles, tandis que le sous-traitant est l'entité qui traite les données personnelles pour le compte du responsable du traitement. En pratique, cela signifie que les organisations utilisent souvent des systèmes externes pour la vente, l'adhésion, la communication, la facturation, le support ou la gestion des comptes utilisateurs. Un tel modèle n'est pas inhabituel, mais il exige un encadrement contractuel des obligations et des mesures techniques et organisationnelles de protection appropriées. C'est précisément pourquoi, dans des incidents de ce type, il est important d'établir précisément où l'incident est survenu, qui avait accès aux données, quelles données étaient disponibles et quelles mesures doivent être prises pour qu'un événement similaire ne se reproduise pas.
Selon la politique de confidentialité officielle publiée sur les sites de Dinamo, le club est indiqué comme responsable du traitement, avec l'adresse Maksimirska 128 à Zagreb et l'OIB 93376857458. Dans le même document, Dinamo indique qu'il collecte des données personnelles par l'intermédiaire de sites web, de formulaires, d'applications et de ventes de produits, et que parmi les données qui peuvent être collectées dans différents scénarios figurent le prénom, le nom, la date de naissance, l'e-mail, l'adresse du domicile ou de livraison et le numéro de téléphone. Ces données sont courantes dans les systèmes d'adhésion et de vente en ligne, mais elles montrent en même temps pourquoi la protection de tels systèmes doit être un processus permanent, et non une mesure technique ponctuelle. Pour le public, dans de tels cas, il est essentiel que les notifications soient suffisamment claires pour que les personnes touchées puissent comprendre leur propre risque et décider quelles mesures elles doivent prendre.
Ce que les membres peuvent faire immédiatement
Bien que Dinamo indique que les mots de passe et les données de cartes n'ont pas été compromis, les membres qui ont reçu une notification ou craignent d'être concernés par l'incident peuvent prendre plusieurs mesures de précaution proportionnées. La première consiste à vérifier tous les messages qui prétendent provenir du club, surtout s'ils demandent une action urgente, la saisie d'un mot de passe, la saisie de données de carte ou la confirmation de données personnelles via un lien. La deuxième consiste à changer le mot de passe du compte utilisateur si le même mot de passe, ou un mot de passe similaire, existe aussi sur d'autres services, car la réutilisation des mots de passe est considérée comme l'un des risques de sécurité les plus fréquents. La troisième consiste à surveiller les tentatives de contact inhabituel par e-mail, SMS ou téléphone, surtout si l'interlocuteur invoque l'adhésion, l'achat de billets ou une prétendue procédure de sécurité. La quatrième consiste à éviter l'envoi de documents personnels ou de l'OIB par des canaux non vérifiés.
- Vérifiez l'adresse de l'expéditeur et ne vous fiez pas seulement au nom de l'expéditeur affiché.
- N'ouvrez pas les liens contenus dans des messages qui demandent la saisie d'un mot de passe, d'une carte ou de données personnelles supplémentaires.
- Si vous devez vérifier un compte ou une adhésion, ouvrez le site officiel en saisissant manuellement l'adresse dans le navigateur.
- Changez votre mot de passe si vous avez utilisé le même mot de passe sur plusieurs services, et évitez les combinaisons simples.
- Comparez les messages suspects avec les publications officielles du club ou envoyez une question au délégué à la protection des données.
Ces mesures ne signifient pas que chaque membre est exposé à une menace directe, mais représentent une prudence raisonnable après un incident dans lequel, selon le club, certaines catégories de données personnelles ont pu être touchées. Il est particulièrement important de distinguer une notification officielle de messages qui tentent d'exploiter l'attention du public. Après des publications sur des incidents de sécurité, de faux messages apparaissent souvent, s'appuyant sur un événement réel afin de paraître convaincants. Si un message demande un paiement urgent, la saisie d'une carte, l'envoi d'une copie de document ou la confirmation d'un mot de passe, une telle demande doit être considérée comme suspecte tant qu'elle n'a pas été vérifiée par un canal officiel. Dinamo a précisément mis un accent particulier sur cette prudence dans sa notification.
Ce que l'on ne sait pas encore
À ce stade, le nombre définitif de personnes auxquelles l'incident se rapporte n'a pas été rendu public. Dinamo a indiqué que les catégories de données personnelles ne sont pas concernées pour tous les membres et que l'information des personnes touchées sera également effectuée par e-mail. Aucune description technique détaillée de l'incident n'a non plus été publiée, ce qui est une pratique fréquente pendant qu'une enquête est en cours, car la divulgation prématurée de détails techniques peut compliquer la vérification, la remédiation ou la coopération avec les autorités compétentes. Il n'a pas non plus été officiellement confirmé dans quelle mesure les allégations médiatiques sur le nombre d'enregistrements et les auteurs présumés sont exactes. Pour l'instant, ce qui est confirmé est ce que le club a indiqué : selon les informations actuellement disponibles, l'incident n'a pas directement touché les sites web du GNK Dinamo, n'a pas compromis les cartes ni les mots de passe, mais a bien porté sur des catégories limitées de données personnelles d'une partie des membres.
Pour les membres et le public, les prochaines étapes du club seront les plus importantes. Cela inclut les notifications individuelles aux personnes touchées, des explications supplémentaires sur les catégories de données, la poursuite du renforcement des mesures de sécurité et d'éventuelles nouvelles informations si l'enquête les confirme. Dans les cas impliquant des données personnelles, une communication rapide et claire n'est pas seulement une question de réputation, mais aussi une partie importante de la réduction du risque pour les personnes dont les données ont pu être touchées. Plus les notifications sont concrètes, plus il est facile pour les individus d'évaluer s'ils doivent changer leurs mots de passe, surveiller d'éventuelles fraudes, contacter le délégué à la protection des données ou demander des informations supplémentaires. Dans sa notification actuelle, Dinamo indique que sa priorité est la protection des données des membres, l'information transparente du public et la prise de mesures conformément aux règles de protection des données personnelles.
Sources :
- GNK Dinamo / X – notification officielle mise à jour du club sur l'incident de sécurité et les recommandations aux membres (link)
- Index Sport – reprise du communiqué mis à jour de Dinamo et contexte des allégations antérieures sur l'incident (link)
- Index Sport – communiqué antérieur de Dinamo du 2 juin 2026 sur un possible incident de sécurité (link)
- Sportske novosti / Jutarnji list – vérification médiatique supplémentaire de la publication de Dinamo et résumé des informations établies (link)
- GNK Dinamo – règles de confidentialité, données sur le responsable du traitement et catégories de données traitées par le club (link)
- Agence croate pour la protection des données personnelles – instructions sur la notification des violations de données personnelles et les obligations au titre du RGPD (link)
- Agence croate pour la protection des données personnelles – conseils pour reconnaître les attaques de phishing et protéger les données personnelles (link)
- Direction de la police – informations préventives sur les fraudes sur internet, le phishing, le smishing et l'usurpation d'identité (link)