Une fuite de données attribuée au site classic-days.fr a été revendiquée sur un forum cybercriminel le 28 juin 2026. L’auteur affirme publier 11 Go de données liées à Classic Days, un événement automobile français consacré aux voitures anciennes et de collection, organisé notamment sur des circuits comme Magny-Cours ou Le Mans.
Selon la revendication, les données dateraient de juin 2026 et auraient été récupérées après la découverte d’un listing de répertoires Apache laissé accessible publiquement. Cette mauvaise configuration aurait permis de parcourir une ancienne arborescence du site sans authentification.

Classic Days visé par une fuite de 11 Go
La publication, signée par un acteur utilisant le pseudonyme Saturne, présente l’archive comme une copie de plusieurs dossiers du site Classic Days. L’arborescence revendiquée contient notamment des répertoires liés au back-office, aux documents, aux emailings, aux images, aux scripts, aux templates et à des ressources internes.
À ce stade, cette fuite reste une revendication non confirmée officiellement. Les éléments publiés décrivent toutefois une exposition technique grave, car elle ne concerne pas seulement des fichiers publics mais aussi des sauvegardes, du code interne et des données clients.
Des emails clients sauvegardés avec des mots de passe en clair
Le point le plus critique concerne un dossier de sauvegarde contenant des copies HTML d’emails automatisés envoyés aux clients. D’après l’auteur, ces fichiers comprennent des confirmations de création de compte, des emails de réinitialisation de mot de passe et des liens d’activation.
Les données visibles pourraient inclure :
- adresses email de clients ;
- mots de passe en clair ;
- liens d’activation ;
- clés secrètes associées aux comptes ;
- emails de réinitialisation de mot de passe ;
- historiques de messages automatisés.
La présence de mots de passe en clair et de liens actifs constitue un risque majeur. Si ces informations sont valides, elles peuvent permettre une prise de contrôle directe de comptes clients, sans nécessiter d’attaque supplémentaire.
Du code interne et des informations d’infrastructure exposés
La revendication mentionne également la présence d’un dossier interne contenant du code source et des ressources propriétaires. Plusieurs fichiers techniques auraient aussi permis d’identifier des informations liées à l’environnement d’hébergement, notamment des métadonnées pointant vers une infrastructure OVH.
Aucun identifiant FTP n’est signalé comme exposé dans ces éléments, mais la cartographie technique d’un site peut déjà faciliter de nouvelles attaques, en particulier lorsqu’elle révèle l’organisation des répertoires, les technologies utilisées ou les chemins internes.
Une mauvaise configuration à l’origine de l’exposition
Le scénario décrit repose sur une erreur classique mais critique : un directory listing laissé actif sur le serveur web. Dans ce cas, le serveur affiche publiquement le contenu de certains répertoires, permettant à un tiers de consulter et télécharger des fichiers qui n’auraient jamais dû être accessibles depuis Internet.
Ce type de mauvaise configuration est d’autant plus dangereux lorsqu’il expose des sauvegardes, des anciens dossiers de production, des emails clients, du code source ou des fichiers internes conservés dans l’arborescence web.
Des traces d’attaques anciennes dans les sauvegardes
L’auteur affirme également avoir observé, dans d’anciennes sauvegardes datant de 2024, des traces de tentatives d’attaque automatisées. Plusieurs entrées contiendraient des charges typiques d’injection SQL placées dans des champs email.
Ces éléments suggèrent que le site a pu être ciblé par des scanners ou des attaquants par le passé. Ils ne prouvent pas à eux seuls une compromission antérieure réussie, mais ils montrent que l’environnement était déjà exposé à des tentatives d’exploitation.
Quels risques pour les clients de Classic Days ?
Les risques sont élevés pour les clients dont les informations figurent dans les emails sauvegardés. Les cybercriminels peuvent exploiter des adresses email, mots de passe, liens d’activation ou historiques de compte pour mener des campagnes de phishing, tenter des prises de contrôle de comptes ou réutiliser les mots de passe sur d’autres services.
Le risque est encore plus important si les mots de passe exposés ont été réutilisés par les utilisateurs sur d’autres plateformes. Dans ce cas, une fuite limitée à Classic Days peut devenir un point d’entrée vers d’autres comptes personnels ou professionnels.
Cette affaire illustre une nouvelle fois les conséquences d’une mauvaise hygiène serveur : une simple option mal configurée peut exposer des années de fichiers, des données clients, du code interne et des éléments permettant d’aggraver l’attaque.