skip to content
Gravité élevée confirmée

Fédération Française d'Équitation : données de licenciés compromises chez OVH

La FFE confirme le 11 juillet 2026 une fuite de données de licenciés après le piratage d'un espace de stockage chez OVH ; un attaquant revendique 16 Go de données et plus de 960 000 contacts.

Organisation
Fédération Française d'Équitation (FFE)
Secteur
Sport / Associations
Pays
France
Date des faits
Revendication publiée le 8 juillet 2026 sur un forum cybercriminel ; confirmation de la FFE à ses adhérents et licenciés le samedi 11 juillet 2026, à la veille des Championnats de France d'équitation
Ampleur
Plus de 960 000 contacts revendiqués par l'attaquant dans une base de gestion Odoo, un chiffre à ne pas lire comme un nombre de personnes physiques uniques (doublons, contacts de clubs, fournisseurs et structures possibles) ; la même revendication évoque plus de 14 000 clients uniques et plus de 10 000 numéros de licence ; la FFE n'a communiqué aucun chiffre
Vecteur
Piratage d'un espace de stockage hébergé chez OVH, confirmé par la FFE. L'attaquant revendique l'accès à deux buckets S3, à la base Drupal du site (comptes et mots de passe hachés) et à une base Odoo PostgreSQL de gestion des contacts et licences, périmètre non confirmé officiellement
Données exposées
Nom et prénom, Date de naissance, Genre, Adresse postale, Adresse e-mail, Numéro de téléphone, Numéro de licence fédérale, Identifiants de comptes et mots de passe hachés (base Drupal, selon la revendication), Documents internes, sauvegardes et liste de fournisseurs (selon la revendication)

Le 8 juillet 2026, un acteur signant « BlackHatSect0r », associé à « DXQRTXX » et « APT-90 » selon Cyberattaque.org, a revendiqué sur un forum cybercriminel la compromission de l’infrastructure numérique de la Fédération Française d’Équitation (FFE), troisième fédération sportive française avec plus de 600 000 adhérents, derrière le football et le tennis. La revendication s’accompagne d’un message à motivation politique visant les autorités françaises, relayé par ZATAZ et franceinfo. Le samedi 11 juillet, à la veille des Championnats de France d’équitation, la FFE a confirmé l’incident dans une communication à ses adhérents et licenciés : un espace de stockage hébergé chez OVH a été piraté, et des données relatives aux licenciés (noms, prénoms, numéros de téléphone, dates de naissance, adresses électroniques et postales) ont été consultées et potentiellement copiées par des personnes non autorisées.

L’attaquant revendique environ 16 Go de données brutes issues de deux buckets S3 : la base Drupal complète du site (utilisateurs, sessions, mots de passe hachés) et une base Odoo PostgreSQL de gestion qui contiendrait plus de 14 000 clients uniques, plus de 10 000 numéros de licence et plus de 960 000 contacts exportés. Les trackers spécialisés soulignent que ce dernier chiffre ne correspond pas à un nombre de personnes physiques uniques, la base pouvant contenir des doublons ainsi que des contacts de clubs, de fournisseurs ou de structures ; le chiffre de 14 000, parfois repris en titre, est lui aussi issu de la même revendication (les « clients uniques » annoncés par le pirate) et non d’un décompte indépendant. Aucune source n’a produit à ce jour d’estimation du nombre de victimes vérifiée indépendamment, et la FFE n’a communiqué aucun chiffre.

La fédération indique n’avoir, à ce stade, aucune connaissance d’une utilisation frauduleuse des données, recommande la vigilance face aux tentatives de phishing et d’usurpation d’identité, et précise travailler avec OVH pour établir les circonstances de l’attaque. Aucune trace publique d’une notification à la CNIL ou d’un dépôt de plainte n’a été identifiée pour cet incident précis. Le statut « confirmée » repose sur la reconnaissance par la FFE elle-même des catégories de données compromises ; l’ampleur revendiquée (16 Go, bases Drupal et Odoo intégrales) reste en revanche au stade de l’allégation.

Cet épisode s’inscrit dans une longue série de cyberattaques visant les fédérations sportives françaises depuis 2025 (football, basket, natation, gymnastique, athlétisme, volley, golf, police nationale, handisport, bridge). Il doit par ailleurs être distingué d’une publication antérieure : le 20 janvier 2026, un acteur signant « Kayo » avait diffusé une base présentée comme appartenant à la FFE dans le cadre d’une campagne visant une vingtaine de fédérations ; cet élément, rapporté par un seul compte de veille spécialisé et non recoupé par la presse, n’a pas de lien confirmé avec l’incident de juillet 2026.