Le groupe ransomware Qilin revendique une attaque contre Die Linke, parti politique allemand au Bundestag. Données volées, plainte déposée, motivations politiques suspectées.
En bref
- Le groupe ransomware Qilin revendique une attaque contre Die Linke, parti politique de gauche allemand représenté au Bundestag.
- Des données sensibles ont été volées et le groupe menace de les publier sur son site de fuites.
- Le parti a déposé plainte et qualifie l'attaque de politiquement motivée.
Ce qui s'est passé
Le groupe de ransomware Qilin a compromis le réseau informatique de Die Linke le 27 mars 2026, forçant le parti politique allemand à une coupure de ses systèmes IT. Le parti, qui compte 123 000 membres inscrits et 64 députés au Bundestag, a initialement confirmé un incident cyber sans évoquer de vol de données. Le 1er avril, Qilin a officiellement revendiqué l'attaque en ajoutant Die Linke à sa liste de victimes sur son site de fuites, sans toutefois publier d'échantillons de données.
Die Linke a décrit les attaquants comme des cybercriminels russophones à la fois financièrement et politiquement motivés. Le parti a précisé que cette attaque « ne semble pas être une coïncidence dans ce contexte », laissant entendre un lien avec les positions politiques du parti sur la scène internationale. Une plainte pénale a été déposée auprès des autorités allemandes.
Le groupe Qilin, actif depuis 2022, s'est imposé comme l'un des groupes de ransomware les plus prolifiques. D'après les chercheurs en sécurité, Qilin utilise désormais des techniques avancées de désactivation des outils EDR via des pilotes vulnérables (BYOVD) pour contourner les défenses des organisations ciblées.
Pourquoi c'est important
L'attaque contre un parti politique représenté dans un parlement national européen marque une escalade dans le ciblage des institutions démocratiques par les groupes de ransomware. Contrairement aux attaques classiques visant des entreprises pour un gain financier, le ciblage d'un parti politique soulève des questions sur l'instrumentalisation du ransomware à des fins d'ingérence politique.
Cette affaire intervient dans un contexte où les partis politiques européens renforcent leur cybersécurité face à la multiplication des menaces, notamment à l'approche des échéances électorales. La directive NIS 2, désormais en vigueur, pourrait d'ailleurs étendre ses exigences de cybersécurité aux organisations politiques considérées comme des entités essentielles.
Ce qu'il faut retenir
- Les partis politiques et institutions démocratiques deviennent des cibles privilégiées des groupes de ransomware à motivation mixte (financière et politique).
- Le groupe Qilin utilise des techniques BYOVD pour désactiver plus de 300 outils EDR, rendant les défenses traditionnelles insuffisantes.
- Les organisations doivent renforcer leur segmentation réseau et leurs sauvegardes hors ligne pour limiter l'impact d'une compromission par ransomware.
Qu'est-ce que la technique BYOVD utilisée par Qilin ?
BYOVD (Bring Your Own Vulnerable Driver) consiste à exploiter des pilotes Windows légitimes mais vulnérables pour obtenir un accès au noyau du système d'exploitation. Depuis ce niveau de privilège, les attaquants peuvent désactiver les solutions de sécurité endpoint (EDR, antivirus) avant de déployer le ransomware, rendant l'attaque beaucoup plus difficile à détecter et à stopper.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris · Habilitation Confidentiel Défense
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur GINA — le module d'authentification de Windows NT4 — et auteur de la version française du guide de sécurité Windows NT4 pour la NSA, il a forgé son expertise au cœur même des systèmes qui protègent des millions d'utilisateurs. Expert Judiciaire auprès de la Cour d'Appel de Paris et titulaire de l'Habilitation Confidentiel Défense, il intervient sur les dossiers les plus sensibles.
À la tête d'Ayi NEDJIMI Consultants, il dirige des missions de pentest d'infrastructures complexes, d'audit Active Directory, de rétro-ingénierie de malwares et de forensics numérique pour les forces de l'ordre et le secteur privé. Conférencier international (Europe & US), il a formé plus de 10 000 professionnels et réalisé plus de 100 missions d'audit — des PME aux grands groupes du CAC 40.
Certifié Microsoft MVP, Cisco CCIE, Juniper JNCIE-SEC et instructeur CEH, il développe également des solutions d'IA sur mesure (RAG, agents LLM, fine-tuning) et publie régulièrement des analyses techniques, guides méthodologiques et outils open source de référence.
Ressources & Outils de l'auteur
Articles connexes
CVE-2026-20184 : faille critique SSO Cisco Webex corrigée
CVE-2026-20184 (CVSS 9.8) : faille critique SSO Cisco Webex permettant d'usurper n'importe quel utilisateur. Action requise pour les clients en SSO.
PHANTOMPULSE : Obsidian détourné contre finance et crypto
Elastic Security Labs dévoile la campagne REF6598 qui détourne Obsidian pour déployer le RAT PHANTOMPULSE chez les professionnels finance et crypto.
Claude Opus 4.7 : Anthropic officialise son modèle phare
Anthropic officialise Claude Opus 4.7 ce 16 avril 2026. Résolution visuelle triplée, mode xhigh et task budgets agentiques : ce que la mise à jour change.
Commentaires (1)
Laisser un commentaire