Le groupe ransomware Qilin revendique une attaque contre Die Linke, parti politique allemand au Bundestag. Données volées, plainte déposée, motivations politiques suspectées.
TL;DR — En résumé
Le ransomware Qilin attaque Die Linke, parti politique allemand au Bundestag. Données volées, motivations politiques suspectées, plainte déposée.
En bref
- Le groupe ransomware Qilin revendique une attaque contre Die Linke, parti politique de gauche allemand représenté au Bundestag.
- Des données sensibles ont été volées et le groupe menace de les publier sur son site de fuites.
- Le parti a déposé plainte et qualifie l'attaque de politiquement motivée.
Ce qui s'est passé
Le groupe de ransomware Qilin a compromis le réseau informatique de Die Linke le 27 mars 2026, forçant le parti politique allemand à une coupure de ses systèmes IT. Le parti, qui compte 123 000 membres inscrits et 64 députés au Bundestag, a initialement confirmé un incident cyber sans évoquer de vol de données. Le 1er avril, Qilin a officiellement revendiqué l'attaque en ajoutant Die Linke à sa liste de victimes sur son site de fuites, sans toutefois publier d'échantillons de données.
Die Linke a décrit les attaquants comme des cybercriminels russophones à la fois financièrement et politiquement motivés. Le parti a précisé que cette attaque « ne semble pas être une coïncidence dans ce contexte », laissant entendre un lien avec les positions politiques du parti sur la scène internationale. Une plainte pénale a été déposée auprès des autorités allemandes.
Le groupe Qilin, actif depuis 2022, s'est imposé comme l'un des groupes de ransomware les plus prolifiques. D'après les chercheurs en sécurité, Qilin utilise désormais des techniques avancées de désactivation des outils EDR via des pilotes vulnérables (BYOVD) pour contourner les défenses des organisations ciblées.
Pourquoi c'est important
L'attaque contre un parti politique représenté dans un parlement national européen marque une escalade dans le ciblage des institutions démocratiques par les groupes de ransomware. Contrairement aux attaques classiques visant des entreprises pour un gain financier, le ciblage d'un parti politique soulève des questions sur l'instrumentalisation du ransomware à des fins d'ingérence politique.
Cette affaire intervient dans un contexte où les partis politiques européens renforcent leur cybersécurité face à la multiplication des menaces, notamment à l'approche des échéances électorales. La directive NIS 2, désormais en vigueur, pourrait d'ailleurs étendre ses exigences de cybersécurité aux organisations politiques considérées comme des entités essentielles.
Ce qu'il faut retenir
- Les partis politiques et institutions démocratiques deviennent des cibles privilégiées des groupes de ransomware à motivation mixte (financière et politique).
- Le groupe Qilin utilise des techniques BYOVD pour désactiver plus de 300 outils EDR, rendant les défenses traditionnelles insuffisantes.
- Les organisations doivent renforcer leur segmentation réseau et leurs sauvegardes hors ligne pour limiter l'impact d'une compromission par ransomware.
Qu'est-ce que la technique BYOVD utilisée par Qilin ?
BYOVD (Bring Your Own Vulnerable Driver) consiste à exploiter des pilotes Windows légitimes mais vulnérables pour obtenir un accès au noyau du système d'exploitation. Depuis ce niveau de privilège, les attaquants peuvent désactiver les solutions de sécurité endpoint (EDR, antivirus) avant de déployer le ransomware, rendant l'attaque beaucoup plus difficile à détecter et à stopper.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Articles connexes :
📎 Articles complémentaires
À propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
[email protected]
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
Indra Group : ransomware TheGentlemen cible un contractant stratégique de l'OTAN
TheGentlemen, groupe ransomware affilié au programme Qilin, a revendiqué une attaque contre Indra Group, contractant espagnol membre de la coalition cyber OTAN. La filiale touchée a été isolée mais le groupe menace de publier les données volées. L'incident illustre la stratégie de ciblage des filiales pour compromettre les groupes industriels de défense.
CVE-2026-45659 : SharePoint Server RCE exploité activement, Storm-2603 déploie des webshells
CVE-2026-45659, une désérialisation RCE CVSS 8.8 sur Microsoft SharePoint Server, a été ajoutée au KEV CISA après exploitation confirmée par Storm-2603. Un compte avec des droits de membre de site suffit pour déclencher l'attaque. Appliquer le patch de mai 2026 en urgence.
Patch Tuesday juillet 2026 : 127 CVE, RCE wormable CVSS 9.8 et enforcement Kerberos RC4
Le Patch Tuesday du 14 juillet 2026 corrige 127 vulnérabilités dont 38 critiques. CVE-2025-47981, un RCE wormable CVSS 9.8 sur NEGOEX, est le correctif le plus urgent ; l'enforcement Kerberos RC4 entre en vigueur aujourd'hui et peut provoquer des pannes d'authentification sur les environnements non préparés.
Un projet cybersécurité ? Parlons-en.
Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin et vous proposer un accompagnement sur mesure.
Commentaires (1)
Laisser un commentaire