Attaque

Fédération Française d’Équitation : 960 000 contacts revendiqués après une compromission totale des bases

Une revendication particulièrement lourde vise la Fédération Française d’Équitation. Publiée sur un forum cybercriminel, elle annonce une compromission complète de l’infrastructure numérique de la FFE, avec bases de données, sauvegardes, documents internes et espaces de stockage exposés.

Les auteurs affirment avoir récupéré deux buckets S3 hébergés chez OVH, une base Drupal, une base Odoo PostgreSQL, des archives médias, des sauvegardes de production, des documents internes et une liste de fournisseurs. À ce stade, il s’agit d’une revendication non confirmée officiellement.

La FFE visée par une revendication de compromission totale

La publication est signée par plusieurs acteurs, dont BLACKHATSECT0R, DXQRTXX et APT-90. Le message revendique un accès très large à l’environnement numérique de la Fédération Française d’Équitation, au-delà d’une simple fuite de fichier client.

La revendication ne fournit pas uniquement un volume de données : elle décrit une exposition d’infrastructure, avec des bases applicatives, des espaces de stockage, des sauvegardes et des documents de production. Si ces éléments sont exacts, le périmètre serait nettement plus grave qu’un export isolé.

16 Go de données brutes dans deux buckets OVH

Les auteurs affirment avoir trouvé deux buckets S3 OVH accessibles, contenant environ 16 Go de données brutes. Les buckets S3 sont des espaces de stockage utilisés pour héberger des fichiers, documents, images, exports ou sauvegardes applicatives.

Dans ce type de scénario, le problème peut venir d’une mauvaise configuration des droits d’accès : fichiers rendus publics, absence de restriction, liens accessibles sans authentification ou politiques de sécurité trop permissives. Une exposition de bucket peut permettre d’aspirer rapidement de gros volumes de données sans avoir besoin de compromettre directement un serveur.

Une base Drupal revendiquée

La revendication mentionne également une base Drupal complète. Drupal étant un CMS, ce type de base peut contenir des comptes utilisateurs, des sessions, des contenus, des rôles, des configurations, des historiques et des identifiants techniques.

Les auteurs affirment notamment avoir récupéré des utilisateurs, des sessions et des identifiants hachés. Même lorsque les mots de passe ne sont pas en clair, la présence de hashes impose une réaction rapide : réinitialisation des mots de passe, invalidation des sessions, contrôle des comptes administrateurs et recherche d’accès persistants.

Odoo : clients, adresses et numéros de licence dans le viseur

Le second volet technique concerne une base Odoo PostgreSQL. Selon la publication, elle contiendrait plus de 14 000 clients uniques, avec des emails, des adresses et plus de 10 000 numéros de licence.

La présence de numéros de licence est sensible pour une fédération sportive. Ces informations peuvent permettre de relier une personne à son activité, son club, son parcours fédéral ou ses démarches administratives. Associées à des coordonnées complètes, elles deviennent exploitables pour du phishing très ciblé.

960 000 contacts Odoo revendiqués

La revendication évoque aussi plus de 960 000 contacts Odoo exportés. Ce chiffre ne doit pas être interprété automatiquement comme 960 000 personnes uniques : une base Odoo peut contenir des contacts clients, fournisseurs, structures, clubs, doublons, anciennes fiches, contacts techniques ou entités rattachées.

Le volume reste toutefois considérable. Un tel carnet de contacts peut permettre de cartographier une partie de l’écosystème de la FFE : licenciés, clubs, prestataires, fournisseurs, contacts administratifs ou structures liées à la fédération.

Des sauvegardes de production et documents internes exposés

Les auteurs affirment également détenir des archives médias, des sauvegardes de production, des documents internes et une liste de fournisseurs. Cette partie est particulièrement préoccupante, car les sauvegardes peuvent contenir bien plus qu’un simple export propre.

Une sauvegarde de production peut inclure des données anciennes, des configurations, des chemins internes, des fichiers temporaires, des exports oubliés, des documents administratifs, des informations techniques ou des traces permettant de préparer une intrusion plus profonde.

Une revendication accompagnée d’un message politique

La publication contient aussi un long message politique et insultant visant les autorités françaises et la cybersécurité nationale. Ces propos ne permettent pas, à eux seuls, de confirmer la réalité technique de la compromission.

Ils montrent toutefois que la fuite est présentée comme une opération de revendication idéologique, et non uniquement comme une vente de données. Dans ce type de cas, les attaquants cherchent autant l’impact médiatique que l’exploitation commerciale des informations récupérées.

Quels risques pour les licenciés et clubs ?

Les risques principaux concernent le phishing ciblé, l’usurpation d’identité, les faux messages fédéraux, les fausses demandes de paiement, les arnaques à la licence ou les tentatives de récupération d’accès à des espaces clubs et licenciés.

Un attaquant disposant d’un nom, d’une adresse email, d’une adresse postale, d’un numéro de licence ou d’un rattachement à une structure peut créer un message très crédible. Il peut par exemple évoquer un renouvellement de licence, une cotisation, un certificat, une inscription, une compétition ou une mise à jour de dossier.

Un risque aussi pour les fournisseurs et partenaires

La présence revendiquée d’une liste de fournisseurs ouvre un autre risque : la fraude aux fournisseurs et aux factures. Des cybercriminels peuvent tenter d’usurper l’identité de la fédération, d’un prestataire ou d’un interlocuteur interne pour demander un changement de RIB, une validation urgente ou un paiement frauduleux.

Les documents internes et sauvegardes peuvent aussi faciliter la création de messages réalistes, avec les bons noms, les bons services, les bons modèles de documents ou les bonnes références administratives.

Un scénario possible : stockage mal configuré et bases exposées

La revendication insiste sur des buckets S3 accessibles publiquement. Si cette partie est confirmée, le scénario le plus probable serait une mauvaise configuration d’espaces de stockage ou de sauvegarde, permettant d’accéder à des fichiers sans authentification suffisante.

La présence revendiquée de bases Drupal et Odoo peut aussi venir de sauvegardes stockées dans ces espaces, d’exports oubliés, de dumps de production ou de fichiers de maintenance mal protégés. Dans ce cas, l’attaque ne dépendrait pas forcément d’une faille complexe : l’exposition d’un backup peut suffire à compromettre des pans entiers d’un système.

Une fuite à confirmer, mais un périmètre critique

À ce stade, aucun élément officiel ne confirme publiquement l’ampleur exacte de cette revendication. Les chiffres, les volumes et le contenu annoncé doivent donc être considérés comme des éléments revendiqués par des cybercriminels.

Mais si la description est exacte, l’incident serait critique pour la Fédération Française d’Équitation : deux buckets S3 OVH, 16 Go de données brutes, une base Drupal, une base Odoo PostgreSQL, plus de 14 000 clients, plus de 10 000 numéros de licence et plus de 960 000 contacts revendiqués.

Les mesures urgentes à vérifier

Dans un tel scénario, les priorités sont claires : couper tout accès public aux buckets, auditer les politiques de stockage, révoquer les clés d’accès, vérifier les journaux de téléchargement, invalider les sessions Drupal, réinitialiser les comptes sensibles et contrôler l’intégrité des bases Odoo et Drupal.

Les clubs, licenciés, fournisseurs et salariés doivent aussi être alertés sur le risque de messages frauduleux. Toute demande liée à une licence, un paiement, une facture, un changement de coordonnées bancaires ou une connexion à un portail fédéral doit être vérifiée par un canal officiel.

Thomas Lazzaroni Thomas Lazzaroni
Articles similaires