Une compromission attribuée à RezoFed, la plateforme interne de la Fédération des Centres Sociaux et Socioculturels de France (FCSF), a été revendiquée le 16 juillet 2026. Les auteurs affirment avoir exporté 29 tables de la base principale et récupéré des données d’utilisateurs, de contacts et de cotisations.
Le périmètre annoncé comprend 5 264 fiches entre comptes utilisateurs et contacts, ainsi que plus de 30 000 lignes financières liées aux cotisations. À ce stade, il s’agit d’une revendication non confirmée officiellement.

Une plateforme interne utilisée par les centres sociaux
RezoFed est présenté comme un outil interne utilisé par la FCSF, les fédérations régionales et les centres sociaux sur le territoire français. La plateforme semble centraliser des informations de gestion, des contacts, des droits utilisateurs et des données administratives.
La compromission revendiquée ne concerne donc pas seulement un site vitrine. Elle viserait un environnement métier utilisé pour organiser et suivre une partie de l’activité du réseau des centres sociaux.
Un webshell et un accès en lecture-écriture revendiqués
Les auteurs affirment avoir obtenu un accès via un webshell. Ce type d’outil permet à un attaquant d’exécuter des commandes sur un serveur compromis, souvent après l’exploitation d’une faille applicative ou d’un mauvais paramétrage.
Ils indiquent également que l’utilisateur Apache disposait de droits étendus sur l’environnement RezoFed, avec un accès en lecture et écriture. Si cette affirmation est exacte, l’incident dépasserait largement une simple fuite de fichier.
Des mots de passe en clair dans la base
Le point le plus critique concerne le fichier des utilisateurs. La revendication mentionne 118 comptes avec des mots de passe stockés en clair.
Un mot de passe en clair peut être utilisé immédiatement par un attaquant, sans avoir besoin de le casser. Le risque est encore plus important si ces mots de passe sont réutilisés sur d’autres services professionnels ou personnels.
Les informations potentiellement exposées pour les comptes comprennent :
- identifiant utilisateur ;
- nom de connexion ;
- description du compte ;
- rôle ou fonction associée ;
- mot de passe en clair.
Plus de 5 100 contacts exposés
Le dépôt revendiqué comprend également un fichier de 5 146 contacts. Ces données semblent concerner des personnes liées aux fédérations, centres sociaux, fonctions de direction ou postes administratifs.
Les champs annoncés comprennent notamment :
- nom et prénom ;
- numéro de téléphone mobile ;
- numéro personnel ;
- adresse email personnelle ;
- téléphone professionnel ;
- adresse email professionnelle ;
- fonction ;
- structure ou entreprise associée.
La présence simultanée de coordonnées personnelles et professionnelles augmente le risque de ciblage direct des responsables et salariés du réseau.
Plus de 30 000 lignes financières liées aux cotisations
Un autre fichier contiendrait 30 228 lignes de cotisations. Les exemples publiés mentionnent des codes de centres, des années et plusieurs montants liés aux cotisations ou contributions.
Ces informations peuvent révéler une partie du fonctionnement financier du réseau : montants appelés, cotisations par structure, périodes concernées et données de suivi interne.
Des fichiers et configurations auraient été supprimés
Les auteurs affirment aussi avoir supprimé des sources, bases de données et fichiers de configuration après leur compromission. Cette déclaration reste à vérifier, mais elle suggère une logique d’extorsion ou de pression sur l’organisation.
Si des fichiers de configuration ont bien été consultés, ils peuvent contenir des secrets techniques : identifiants de base de données, clés d’API, paramètres SMTP ou accès à d’autres services internes.
Quels risques pour les centres sociaux ?
Le risque principal concerne la compromission de comptes et l’exploitation des coordonnées exposées. Des attaquants peuvent utiliser les informations publiées pour cibler les fédérations, centres sociaux, salariés, bénévoles ou responsables associatifs.
Les scénarios possibles incluent :
- connexion non autorisée avec des mots de passe en clair ;
- réutilisation des mots de passe sur d’autres services ;
- phishing ciblé contre les responsables de centres ;
- fausse demande de cotisation ;
- fausse facture ;
- usurpation d’un membre de la FCSF ;
- chantage ou pression liée aux données internes ;
- exploitation des contacts personnels pour contourner les canaux officiels.
Une fuite plus grave qu’un simple annuaire
La combinaison entre comptes utilisateurs, mots de passe en clair, contacts personnels, fonctions, structures et données financières rend l’incident particulièrement sensible.
Même si le volume de personnes reste limité par rapport à d’autres fuites, la nature interne des données et la présence de mots de passe exploitables augmentent fortement le niveau de risque.
Une revendication à confirmer officiellement
Le volume exact, l’origine de l’accès, l’éventuelle suppression de fichiers et la validité des mots de passe publiés doivent encore être confirmés par une analyse officielle.
Si les éléments revendiqués sont authentiques, la priorité devrait être la réinitialisation immédiate des comptes, l’invalidation des sessions, la rotation des secrets techniques et la vérification complète de l’intégrité du serveur RezoFed.