Skip to content

FFE : fuite revendiquée à la veille des Championnats de France

Un acteur signant BlackHatSect0r revendique le 8 juillet la compromission de la Fédération Française d'Équitation : deux buckets OVH, base Odoo, 960 000 contacts. Non confirmé par la FFE.

Publié le 5 min de lecture

Un message publié le mercredi 8 juillet 2026 sur un forum cybercriminel revendique la compromission d'une partie de l'infrastructure numérique de la Fédération Française d'Équitation (FFE) et l'exfiltration de plusieurs jeux de données, à trois jours de l'ouverture des Championnats de France d'équitation à Lamotte-Beuvron. La revendication est signée par un pseudonyme BlackHatSect0r, associé à deux autres identifiants — DXQRTXX et APT-90 — présentés comme co-auteurs. À l'heure de publication de cet article, la FFE n'a pas confirmé l'incident.

L'observatoire indépendant Cyberattaque.org et ZATAZ ont documenté la revendication le jour même, avec un contenu concordant sur les volumes annoncés, l'infrastructure ciblée et le vocabulaire employé par les auteurs.

Ce qui est revendiqué

Selon la publication originelle, l'accès aurait porté sur :

  • deux buckets S3 hébergés chez OVH, contenant archives médias et sauvegardes de production ;
  • une base Drupal (le site public de la fédération) ;
  • une base Odoo PostgreSQL (l'ERP interne) ;
  • des documents internes et une liste de fournisseurs.

Les auteurs annoncent environ 16 Go de données brutes, plus de 14 000 clients avec adresses mail et postales, plus de 10 000 numéros de licence et plus de 960 000 contacts exportés depuis Odoo. Ce dernier chiffre demande une lecture prudente : une base Odoo compte, en plus des personnes physiques, les structures affiliées, clubs, fournisseurs, contacts techniques et doublons historiques — Cyberattaque.org le souligne explicitement, et il n'y a pas de raison de convertir mécaniquement 960 000 lignes en 960 000 individus distincts.

Statut de la revendication

À ce stade, rien n'a été publiquement confirmé :

  • La FFE n'a pas publié de communiqué au moment de la rédaction (12 juillet).
  • Aucun échantillon indépendant du corpus n'a été analysé publiquement pour recouper les schémas de tables Odoo et Drupal réels.
  • La revendication mêle un discours idéologique — références à la Palestine, à Gaza, à l'Ukraine, à la Russie, à l'OTAN et au Conseil de sécurité de l'ONU — et une monétisation classique via publication de liens de téléchargement, ce qui rend l'intention réelle des auteurs difficile à qualifier avant expertise.

Cet ensemble « revendication politique + monétisation dark web » est cohérent avec plusieurs opérations récentes visant des institutions françaises, sans qu'il soit possible d'en tirer une attribution à un acteur étatique ou à un collectif structuré sur la seule base des trois pseudonymes cités.

Que faire

  1. Licenciés, clubs et centres équestres : traiter comme publiquement connus — a minima côté attaquant — le nom, prénom, numéro de licence, adresse e-mail et adresse postale. Les prochaines vagues d'hameçonnage se présenteront très probablement comme des courriels de « régularisation de licence », « remboursement d'engagement compétition » ou « mise à jour de compte club » à la veille ou pendant les Championnats. Un mail crédible qui cite votre numéro de licence n'est pas, en soi, la preuve qu'il vient de la FFE.
  2. Structures affiliées et fournisseurs de la fédération : renforcer sans délai la double validation sur toute modification de RIB, de coordonnées bancaires ou de contrat de prestation. La liste de fournisseurs mentionnée dans la revendication rend crédibles les tentatives de fraude au président ou au faux virement dans les jours qui viennent.
  3. DSI FFE et prestataires OVH : si l'incident est confirmé, la priorité opérationnelle est de révoquer les jetons S3 et clés d'accès associés aux buckets cités, de rotationner les identifiants de la base Odoo et Drupal, et de reconstruire les sauvegardes à partir d'une source hors ligne. La présence revendiquée d'un dump PostgreSQL Odoo implique en pratique qu'il faut considérer comme compromis tout secret stocké en clair dans la configuration applicative — clés API partenaires, tokens de paiement, secrets de messagerie transactionnelle.
  4. Autres fédérations sportives françaises : le mode opératoire — exfiltration des bases métiers et publication sur forum, sans chiffrement — est le même que sur les fuites récentes visant la Fédération Française Handisport et la Fédération Française d'Athlétisme. Un audit Odoo / Drupal / bucket S3 — accès non authentifiés, jetons oubliés, buckets publics — est un investissement plus rentable cette semaine que n'importe quelle mesure périmétrique.
  5. Grand public : pas d'action individuelle à engager côté personnes qui ne sont ni licenciées ni professionnelles de la filière équestre. Les données revendiquées sont explicitement présentées comme des données fédérales (licenciés, clubs, prestataires), pas comme un fichier grand public.

Contexte

Deux tendances lourdes se recoupent ici. La première : les fédérations sportives françaises ont pris le rang de cibles récurrentes depuis 2025, avec des bases uniformément organisées autour d'un ERP (Odoo dans le cas présent), d'un CMS (Drupal), et de buckets objets pour la vidéo et l'archive. La taille modeste des équipes IT rapportée à la valeur métier des annuaires en fait des cibles à faible coût d'entrée pour une compromission à forte valeur de revente.

La seconde : la politisation opportuniste des revendications. Un habillage idéologique — Palestine, Gaza, OTAN, ONU — augmente la couverture médiatique de la publication et brouille la lecture des motivations réelles, qui restent, sur le corpus mis en vente, conformes à un schéma de monétisation classique (dumps proposés au téléchargement, monnaie d'échange face à une éventuelle demande de rançon). C'est aussi la mécanique observée sur plusieurs des grandes fuites françaises de l'année.

Il faudra attendre soit un communiqué officiel de la FFE, soit une analyse indépendante d'un échantillon pour trancher entre revendication réelle et exagération. En attendant, la posture prudente pour tout l'écosystème équestre français consiste à traiter la fuite comme si elle était avérée : c'est le seul horizon utile pour un licencié qui recevra, dans les jours qui viennent, un mail qui cite son numéro de licence.

Articles liés