Le groupe ransomware Qilin revendique une attaque contre Die Linke, parti politique allemand au Bundestag. Données volées, plainte déposée, motivations politiques suspectées.
En bref
- Le groupe ransomware Qilin revendique une attaque contre Die Linke, parti politique de gauche allemand représenté au Bundestag.
- Des données sensibles ont été volées et le groupe menace de les publier sur son site de fuites.
- Le parti a déposé plainte et qualifie l'attaque de politiquement motivée.
Ce qui s'est passé
Le groupe de ransomware Qilin a compromis le réseau informatique de Die Linke le 27 mars 2026, forçant le parti politique allemand à une coupure de ses systèmes IT. Le parti, qui compte 123 000 membres inscrits et 64 députés au Bundestag, a initialement confirmé un incident cyber sans évoquer de vol de données. Le 1er avril, Qilin a officiellement revendiqué l'attaque en ajoutant Die Linke à sa liste de victimes sur son site de fuites, sans toutefois publier d'échantillons de données.
Die Linke a décrit les attaquants comme des cybercriminels russophones à la fois financièrement et politiquement motivés. Le parti a précisé que cette attaque « ne semble pas être une coïncidence dans ce contexte », laissant entendre un lien avec les positions politiques du parti sur la scène internationale. Une plainte pénale a été déposée auprès des autorités allemandes.
Le groupe Qilin, actif depuis 2022, s'est imposé comme l'un des groupes de ransomware les plus prolifiques. D'après les chercheurs en sécurité, Qilin utilise désormais des techniques avancées de désactivation des outils EDR via des pilotes vulnérables (BYOVD) pour contourner les défenses des organisations ciblées.
Pourquoi c'est important
L'attaque contre un parti politique représenté dans un parlement national européen marque une escalade dans le ciblage des institutions démocratiques par les groupes de ransomware. Contrairement aux attaques classiques visant des entreprises pour un gain financier, le ciblage d'un parti politique soulève des questions sur l'instrumentalisation du ransomware à des fins d'ingérence politique.
Cette affaire intervient dans un contexte où les partis politiques européens renforcent leur cybersécurité face à la multiplication des menaces, notamment à l'approche des échéances électorales. La directive NIS 2, désormais en vigueur, pourrait d'ailleurs étendre ses exigences de cybersécurité aux organisations politiques considérées comme des entités essentielles.
Ce qu'il faut retenir
- Les partis politiques et institutions démocratiques deviennent des cibles privilégiées des groupes de ransomware à motivation mixte (financière et politique).
- Le groupe Qilin utilise des techniques BYOVD pour désactiver plus de 300 outils EDR, rendant les défenses traditionnelles insuffisantes.
- Les organisations doivent renforcer leur segmentation réseau et leurs sauvegardes hors ligne pour limiter l'impact d'une compromission par ransomware.
Qu'est-ce que la technique BYOVD utilisée par Qilin ?
BYOVD (Bring Your Own Vulnerable Driver) consiste à exploiter des pilotes Windows légitimes mais vulnérables pour obtenir un accès au noyau du système d'exploitation. Depuis ce niveau de privilège, les attaquants peuvent désactiver les solutions de sécurité endpoint (EDR, antivirus) avant de déployer le ransomware, rendant l'attaque beaucoup plus difficile à détecter et à stopper.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Expert Cybersécurité Offensive & Intelligence Artificielle
Ayi NEDJIMI est consultant senior en cybersécurité offensive et intelligence artificielle, avec plus de 20 ans d'expérience sur des missions à haute criticité. Il dirige Ayi NEDJIMI Consultants, cabinet spécialisé dans le pentest d'infrastructures complexes, l'audit de sécurité et le développement de solutions IA sur mesure.
Ses interventions couvrent l'audit Active Directory et la compromission de domaines, le pentest cloud (AWS, Azure, GCP), la rétro-ingénierie de malwares, le forensics numérique et l'intégration d'IA générative (RAG, agents LLM, fine-tuning). Il accompagne des organisations de toutes tailles — des PME aux grands groupes du CAC 40 — dans leur stratégie de sécurisation.
Contributeur actif à la communauté cybersécurité, il publie régulièrement des analyses techniques, des guides méthodologiques et des outils open source. Ses travaux font référence dans les domaines du pentest AD, de la conformité (NIS2, DORA, RGPD) et de la sécurité des systèmes industriels (OT/ICS).
Ressources & Outils de l'auteur
Articles connexes
Docker CVE-2026-34040 : contournement AuthZ et accès hôte
CVE-2026-34040 permet de contourner les plugins AuthZ Docker via des requêtes surdimensionnées et créer des conteneurs privilégiés avec accès hôte.
FrostArmada : APT28 détourne des routeurs pour voler vos identifiants
APT28 a compromis des milliers de routeurs MikroTik et TP-Link via la campagne FrostArmada pour détourner le DNS et voler des identifiants Microsoft 365.
Storm-1175 : la Chine déploie Medusa via des zero-days
Microsoft identifie Storm-1175, un acteur chinois qui exploite des zero-days dans SmarterMail et GoAnywhere MFT pour déployer le ransomware Medusa en moins de 24 heures.
Commentaires (1)
Laisser un commentaire