Dinamo a averti ses membres après un incident de sécurité concernant de faux messages : les cartes et les mots de passe, selon le club, n'ont pas été compromis
Le GNK Dinamo a publié le 3 juin 2026 un avis actualisé sur un incident de sécurité lié aux données d'une partie de ses membres et a indiqué que, selon les informations actuellement disponibles, l'incident n'a pas directement touché les sites web officiels du club. Le club indique que les données de cartes et les mots de passe n'ont pas été compromis, mais confirme que l'incident a concerné des catégories limitées de données personnelles d'une partie des membres. Parmi les données mentionnées figurent le prénom, le nom, l'OIB, les coordonnées et d'autres données si un membre les a lui-même laissées dans le système. Depuis Maksimir, on indique qu'après avoir reçu l'avis concernant un possible incident, le club a lancé une enquête interne, engagé des experts externes indépendants en sécurité et d'autres spécialistes, et commencé à renforcer davantage la protection des données.
L'avis actualisé est intervenu un jour après que le club a informé pour la première fois ses membres qu'il avait reçu une information concernant un possible incident de sécurité. Dans cette première publication, Dinamo a indiqué que l'étendue exacte de l'événement, les catégories de données potentiellement touchées et le nombre de membres auxquels l'incident pourrait se rapporter étaient en cours d'établissement. Dans le nouvel avis, le club fournit davantage de détails, mais utilise encore des formulations qui indiquent que l'enquête et l'évaluation des conséquences ne sont pas entièrement terminées. Selon la publication du GNK Dinamo, les membres concernés seront également informés par e-mail, et pour les questions relatives aux données ou d'éventuelles inquiétudes, le club renvoie vers le délégué à la protection des données.
Ce que le club a officiellement confirmé jusqu'à présent
Selon l'avis actualisé du GNK Dinamo, après avoir reçu l'information concernant un possible incident, le club a lancé une enquête interne et engagé des experts externes afin d'établir les circonstances de l'événement. Dinamo indique que, selon les informations actuellement disponibles, l'incident ne s'est pas produit directement sur ses sites web. Le club souligne également que l'étendue de l'incident est limitée et que, selon les informations dont il dispose de la part du sous-traitant, il n'existe pas de danger d'autres incidents du même type. Une telle formulation signifie que le club fonde une partie des informations aussi sur des données obtenues auprès d'un tiers impliqué dans le traitement des données, et pas seulement sur sa propre vérification interne.
Le message le plus important pour les membres concerne les types de données dont le club affirme qu'elles n'ont pas été touchées. Dinamo a explicitement annoncé que les données de cartes et les données relatives aux mots de passe n'ont pas été compromises. C'est important car les données de paiement et les mots de passe d'accès, dans des incidents similaires, peuvent ouvrir la voie à un préjudice financier direct ou à une entrée non autorisée dans les comptes utilisateurs. Le club ne prétend toutefois pas que l'incident n'a touché aucune donnée personnelle. Au contraire, dans l'avis, il indique que des catégories limitées de données personnelles sont concernées, lesquelles diffèrent selon le membre.
La publication officielle mentionne le prénom, le nom, l'OIB, les coordonnées et d'autres données que le membre aurait éventuellement lui-même laissées dans le système. Dinamo souligne en même temps que les catégories indiquées n'ont pas touché tous les membres. Cela signifie que l'étendue n'est pas décrite comme un ensemble unique de données pour toute la base, mais comme un incident pouvant avoir des conséquences différentes pour différentes personnes. C'est précisément pourquoi il est important que les avis que les membres pourraient recevoir par e-mail soient lus attentivement, mais aussi que l'on vérifie s'ils ont réellement été envoyés depuis une adresse fiable du club.
Pourquoi les données personnelles telles que l'OIB et les coordonnées exigent de la prudence
Bien que Dinamo indique que les mots de passe et les données de cartes n'ont pas été compromis, des données telles que le prénom, le nom, l'OIB, l'adresse e-mail, le numéro de téléphone ou d'autres informations de contact peuvent être sensibles. L'OIB est un numéro d'identification unique et, en combinaison avec d'autres données, il peut être utilisé abusivement dans des tentatives de fraude, d'usurpation d'identité ou de messages ciblés qui paraissent plus convaincants qu'un spam ordinaire. Les coordonnées en elles-mêmes ne signifient pas qu'un dommage financier s'est produit, mais elles peuvent faciliter la tâche aux attaquants pour convaincre les personnes qu'elles communiquent avec une organisation connue. C'est pourquoi l'avertissement concernant les faux messages ne relève pas seulement de l'hygiène informatique, mais aussi du risque réel de tentatives ultérieures d'exploitation des données disponibles.
Dans l'avis, le club avertit directement les membres de faire attention aux e-mails suspects et faux, de protéger leurs mots de passe, de les changer régulièrement et de veiller à leur complexité. Une telle recommandation est particulièrement importante si les utilisateurs emploient le même mot de passe sur plusieurs services internet différents. Bien que Dinamo indique que les mots de passe ne sont pas concernés par cet incident, changer de mot de passe peut être une mesure de précaution raisonnable s'il s'agit d'un mot de passe ancien, faible ou réutilisé. Il est encore plus important de ne pas saisir de mot de passe, de données de carte ou d'autres données personnelles sur des pages auxquelles on accède par des liens contenus dans des messages suspects.
Selon les explications du CERT national, le phishing repose sur la manipulation des utilisateurs dans le but de collecter des données confidentielles, notamment des noms d'utilisateur, des mots de passe et des données de cartes de crédit. La police décrit également le phishing comme une usurpation d'identité en ligne dans laquelle de faux e-mails tentent d'amener les utilisateurs à partager des données personnelles, financières ou de sécurité. En pratique, cela signifie qu'après un tel incident, des messages pourraient apparaître en se présentant faussement comme des avis du club, des demandes de confirmation de données, des appels au changement de mot de passe ou des avis concernant de prétendus problèmes d'adhésion. Les principaux signes d'alerte sont une adresse d'expéditeur inhabituelle, une pression à réagir en urgence, des fautes grammaticales, des pièces jointes inattendues et des liens qui ne mènent pas au domaine officiel.
Obligations selon les règles de protection des données personnelles
L'incident doit aussi être examiné dans le cadre du Règlement général sur la protection des données, connu sous le nom de RGPD, car il s'agit d'une possible atteinte aux données personnelles de personnes physiques. Selon les informations de l'Agence pour la protection des données personnelles, le responsable du traitement est tenu d'informer l'autorité de contrôle sans retard injustifié et, si possible, au plus tard dans les 72 heures après avoir eu connaissance d'une violation, sauf s'il est peu probable que la violation engendre un risque pour les droits et libertés des personnes. Le RGPD prévoit en outre que les personnes sont informées sans retard injustifié s'il est probable que la violation de données personnelles engendre un risque élevé pour leurs droits et libertés. L'évaluation d'un tel risque dépend du type de données, de l'étendue de l'incident, de la possibilité d'abus et des mesures prises après la découverte.
Dans ses avis officiels, Dinamo indique que les priorités du club sont la protection des membres, l'information transparente du public et la prise des mesures nécessaires conformément aux règles relatives à la protection des données personnelles. Dans sa publication, le club n'a pas mentionné tous les détails techniques de l'incident, ce qui est courant au début des vérifications de sécurité, car la divulgation publique d'un trop grand nombre de détails peut compliquer l'enquête ou ouvrir la voie à des abus supplémentaires. En même temps, pour les personnes dont les données ont pu être concernées, il est important d'obtenir des informations suffisamment claires sur les données touchées, le risque encouru et les mesures qu'elles doivent prendre. C'est précisément pourquoi l'annonce d'une notification individuelle des membres concernés par e-mail constitue une partie importante de la suite de la procédure.
Dans de tels cas, la question déterminante n'est pas seulement de savoir si le système a été techniquement attaqué, mais aussi s'il y a eu un accès non autorisé, une divulgation ou une perte de contrôle sur les données personnelles. Dinamo affirme que l'incident ne s'est pas produit directement sur les sites web du club, mais confirme en même temps que certaines catégories de données d'une partie des membres ont été concernées. Cela indique la possibilité que l'incident soit lié au traitement ou au stockage de données dans un environnement numérique plus large, y compris des prestataires externes, bien que le club n'ait pas publié de détails permettant de tirer une conclusion ferme sur la cause technique. Tant que l'enquête n'est pas terminée, il est plus précis de parler d'un incident de sécurité d'étendue limitée, tel que le décrit le club lui-même.
Il faut distinguer les affirmations médiatiques des informations officiellement confirmées
Avant l'avis actualisé de Dinamo, des reportages médiatiques sont apparus dans le public au sujet d'affirmations selon lesquelles une partie des données aurait prétendument été proposée ou mentionnée dans un environnement lié au dark web. Tportal, par exemple, a rapporté des allégations selon lesquelles une publication mentionnait une base de données compromise et un groupe de hackers se présentant comme INF Grupa. De telles informations doivent être traitées avec prudence, car elles reposent sur des affirmations supposées de tiers et ne sont pas la même chose qu'une confirmation officielle du club ou de l'autorité compétente. Dans l'avis officiel, Dinamo n'a pas nommé les auteurs présumés, n'a pas confirmé le nombre d'enregistrements touchés et n'a pas annoncé que les données de cartes ou les mots de passe avaient été compromis.
Distinguer les informations officiellement confirmées des affirmations qui circulent sur internet est important pour éviter la panique, mais aussi pour protéger les membres contre des fraudes supplémentaires. Lors d'incidents cybernétiques, les attaquants ou les personnes qui se présentent comme des attaquants utilisent souvent l'attention publique afin d'accroître la pression sur l'organisation ou d'inciter les utilisateurs à réagir précipitamment. C'est pourquoi l'approche la plus fiable consiste à s'appuyer sur les communiqués officiels du club, les avis des autorités compétentes et les recommandations de sécurité vérifiées. Si un membre reçoit un message qui fait référence à l'incident et demande la saisie d'un mot de passe, de données de carte ou de l'OIB via un lien, une telle demande doit être considérée comme suspecte jusqu'à ce qu'elle soit vérifiée directement par les canaux officiels.
Dans le premier avis du 2 juin, Dinamo a indiqué qu'il informerait sans délai les membres et le public dès que seraient disponibles des informations confirmées sur l'étendue de l'incident et les éventuelles catégories de données touchées. L'avis actualisé du 3 juin constitue la suite de ce processus, mais il ne doit pas nécessairement être la dernière information sur l'événement. Si l'enquête établit de nouveaux faits, le club devrait, selon ses propres annonces et les règles de protection des données personnelles, continuer à informer les personnes concernées par l'incident. Pour le public, il est essentiel que toute nouvelle affirmation soit clairement séparée de ce qui a déjà été confirmé.
Ce que les membres peuvent faire immédiatement
Les membres qui ont utilisé des services numériques liés au club devraient d'abord suivre les annonces officielles du GNK Dinamo et prêter attention à une éventuelle notification individuelle qui pourrait arriver par e-mail. Un tel message doit être vérifié attentivement : l'expéditeur doit être fiable, les liens ne doivent pas être ouverts automatiquement, et les demandes de saisie de mot de passe, de données de carte ou de données personnelles supplémentaires doivent susciter une prudence particulière. Il est plus sûr d'ouvrir manuellement le site internet officiel du club ou de contacter le délégué à la protection des données à l'adresse indiquée par le club dans son avis. Si le message paraît suspect, il ne faut pas y répondre ni ouvrir les pièces jointes.
Il est recommandé de changer le mot de passe du compte utilisateur si un mot de passe ancien ou faible est utilisé, surtout si le même mot de passe a été utilisé sur d'autres services. Un bon mot de passe devrait être long, unique et difficile à deviner, et lorsque c'est possible, il faut activer l'authentification multifactorielle. Si un utilisateur reçoit un message demandant un paiement urgent, une confirmation de carte ou une nouvelle saisie de données personnelles, il doit vérifier la demande par un autre canal avant toute action. Le CERT et la police, dans leurs recommandations générales, avertissent que l'objectif des messages de phishing est d'amener l'utilisateur à remettre des données ou à cliquer sur un lien malveillant, de sorte qu'une vérification calme constitue la meilleure protection.
La prudence est également nécessaire dans les semaines à venir, car les tentatives de fraude ne doivent pas nécessairement apparaître immédiatement après l'incident. Si les coordonnées de quelqu'un ont été touchées, de faux messages peuvent apparaître ultérieurement et peuvent faire référence à l'adhésion, aux billets, aux avantages, aux jeux-concours ou à un prétendu contrôle de sécurité. Il faut particulièrement éviter de partager des photos de documents personnels, des données de carte ou des codes à usage unique pour la confirmation de transactions. En cas de soupçon d'abus de données financières, il faut contacter immédiatement la banque, et en cas de fraude ou de tentative de fraude, la police et les services compétents en cybersécurité peuvent être informés.
La confiance numérique devient une partie de la responsabilité des organisations sportives
L'incident de sécurité chez Dinamo montre à quel point les clubs sportifs sont devenus des organisations numériques. Les adhésions, les billets, les boutiques en ligne, les newsletters, les applications et la communication avec les supporters reposent sur des bases de données et des systèmes technologiques externes. Un tel modèle apporte une communication plus rapide et des services plus simples, mais accroît aussi la responsabilité en matière de protection des données personnelles. Dans le public, les organisations sportives sont souvent considérées à travers les résultats, les transferts et les matchs, mais leur infrastructure numérique constitue une part de plus en plus importante de la confiance entre le club et ses membres.
Pour Dinamo, la suite de l'affaire dépendra des résultats de l'enquête, d'éventuels avis supplémentaires et des mesures que le club mettra en œuvre afin de réduire le risque de répétition d'événements similaires. Le club a déjà annoncé que des actions étaient entreprises pour renforcer davantage la sécurité de toutes les données, mais il n'a pas précisé en détail quelles mesures techniques et organisationnelles seront mises en œuvre. À ce stade, le plus important est que les membres ne paniquent pas, mais agissent avec prudence, en particulier face aux messages qui demandent une réaction rapide ou la saisie de données sensibles. Selon les informations officielles disponibles au 04 juin 2026, il est confirmé que l'incident a une étendue limitée, que l'information des membres concernés se poursuit et que le club affirme que les données de cartes et les mots de passe n'ont pas été compromis.
Sources :
- GNK Dinamo – avis officiel actualisé sur l'incident de sécurité et les catégories de données qui ont pu être concernées (lien)
- GNK Dinamo – premier avis aux membres concernant un possible incident de sécurité et le lancement d'une procédure interne (lien)
- Agence pour la protection des données personnelles – informations sur la notification d'une violation de données personnelles et le délai de 72 heures (lien)
- EUR-Lex – texte du Règlement général sur la protection des données, y compris les règles relatives aux violations de données personnelles (lien)
- CERT national – explication du phishing et de la manière dont on tente de collecter des données confidentielles (lien)
- Direction de la police – explications sur les fraudes sur internet et les messages de phishing (lien)
- Tportal – reportage médiatique sur les allégations qui ont précédé les avis officiels du club (lien)