Qilin ransomware : la mairie de Quiberon refuse de payer, les données publiées

Les faits

Le dimanche 3 mai 2026, les systèmes d'information de la mairie de Quiberon, commune balnéaire d'environ 5 000 habitants dans le Morbihan (Bretagne), ont été compromis. L'intrusion a conduit à l'exfiltration de données municipales puis au chiffrement des systèmes, rendant une partie des ressources informatiques inutilisables. Le 6 mai, le groupe de ransomware Qilin a revendiqué publiquement l'attaque sur son site de fuite dark web, publiant un message de revendication sous le nom « Le Maire de Quiberon ».

La Ville a communiqué officiellement sur l'incident via sa page d'actualités, confirmant la cyberattaque et précisant que des procédures avaient été mises en place pour maintenir la continuité des services publics malgré les perturbations. Les équipes municipales, accompagnées d'experts en cybersécurité et des autorités compétentes, ont été mobilisées dès la détection pour analyser les méthodes opératoires des attaquants et permettre une réinstallation sécurisée des systèmes. Une plainte a été déposée auprès de la Gendarmerie nationale, et l'Office anti-cybercriminalité (OFAC) a ouvert une enquête. La Commission nationale de l'informatique et des libertés (CNIL) a également été notifiée conformément aux obligations du RGPD relatives aux violations de données à caractère personnel.

La Ville de Quiberon a déclaré avoir refusé tout paiement de rançon, en cohérence avec les recommandations constantes de l'ANSSI et du CERT-FR aux collectivités victimes de ransomware. Cette position — fermement conseillée par les autorités françaises et maintenant traduite dans les recommandations formelles de la directive NIS2 — est courageuse mais comporte ses propres risques : en cas de refus de paiement, les groupes de double extorsion comme Qilin publient généralement les données exfiltrées sur leur plateforme dark web dans un délai de 72 heures à deux semaines, selon les négociations en cours.

L'attaque sur Quiberon s'inscrit dans un pattern bien documenté de Qilin contre le secteur public français et européen. En avril 2026, le groupe avait également revendiqué une attaque contre le parti politique allemand Die Linke, et des sources de renseignement ouvert (OSINT) comme Zataz et FrenchBreaches signalent une augmentation sensible du ciblage des collectivités territoriales françaises au cours du premier semestre 2026. Ces entités présentent un profil de cible attractif pour Qilin : dépendance critique aux systèmes IT pour la continuité du service public, budgets cybersécurité généralement limités, pression politique et médiatique importante en cas d'incident, et obligation légale de notifier les autorités qui peut pousser à une résolution rapide.

Qilin — également connu sous le nom initial « Agenda » lors de sa création en 2022 — opère comme un service de ransomware-as-a-service (RaaS) avec un réseau d'affiliés actifs recrutés sur les forums cybercriminels. Le groupe a considérablement évolué depuis 2022 : ses outils sont disponibles en variantes Go et Rust, sa plateforme d'affiliation offre jusqu'à 80 à 85 % des rançons aux affiliés (taux parmi les plus élevés du marché), et ses TTPs (Tactiques, Techniques et Procédures) montrent une sophistication croissante. Selon le rapport Check Point Q1 2026, Qilin a été le groupe ransomware le plus actif du trimestre avec 338 victimes revendiquées — devant RansomHub, LockBit et BlackBasta.

L'une des caractéristiques distinctives de Qilin documentée par les chercheurs de Barracuda Networks et de CybelAngel est sa capacité à harvester des identifiants stockés dans Google Chrome sur les machines du domaine compromis, via un script distribué par GPO (Group Policy Object) sur l'Active Directory. Cette technique permet à l'affilié Qilin d'extraire non seulement les données métier, mais aussi les identifiants sauvegardés dans les navigateurs des employés — credentials de services cloud, accès bancaires professionnels, tokens d'authentification — augmentant considérablement la valeur de l'attaque et les leviers d'extorsion disponibles.

Pour la commune de Quiberon comme pour toute collectivité territoriale victime, la phase de reconstruction post-incident est longue et coûteuse. Les témoignages d'autres communes françaises ayant subi des attaques similaires — comme Angers en 2021, Caen en 2022, Chaville et Chalon-sur-Saône — indiquent des délais de reconstruction complète des SI de 6 à 18 mois, pour des coûts pouvant atteindre plusieurs centaines de milliers d'euros. Ces chiffres intègrent les coûts de reconstruction technique, la perte de productivité des agents, les frais d'assistance technique externe, la gestion de la communication de crise et les investissements en mesures de sécurité renforcées. La cyber-assurance, quand elle existe, ne couvre souvent qu'une partie de ces frais dans le secteur public local.

L'ANSSI et l'Agence nationale de la cohésion des territoires (ANCT) ont publié des guides spécifiques aux collectivités territoriales pour renforcer leur résilience cyber, et le dispositif MonAideCyber permet aux collectivités de taille modeste d'obtenir une assistance technique. Ces ressources restent malheureusement sous-utilisées en raison du manque de temps et de moyens des équipes IT municipales. La multiplication des incidents comme Quiberon devrait accélérer la prise de conscience et l'adoption de ces dispositifs de soutien.

Impact et exposition

L'attaque a directement perturbé les services municipaux de Quiberon pendant plusieurs jours, avec des procédures administratives rendues plus difficiles ou temporairement indisponibles. Les données personnelles des administrés — état civil, données cadastrales, fichiers RH des agents — peuvent avoir été exfiltrées et potentiellement publiées sur le site de fuite Qilin. Les communes et collectivités territoriales françaises, particulièrement celles de taille modeste avec des ressources IT limitées, présentent un profil d'exposition similaire à celui de Quiberon face à des groupes comme Qilin.

Recommandations

• Mettre en place une sauvegarde hors ligne (offline backup) et hors site des données critiques, testée régulièrement par des exercices de restauration complète — la principale leçon de tous les incidents ransomware dans les collectivités
• Durcir l'Active Directory : audit des GPO, suppression des comptes de service surprivilégiés, activation du tiering modèle pour segmenter les accès administrateurs
• Désactiver ou restreindre la sauvegarde de credentials dans les navigateurs Chrome sur les machines du domaine — contremesure directe à la technique de harvest Qilin
• Mettre en place une segmentation réseau entre les systèmes administratifs, les postes de travail et les réseaux de services aux usagers pour limiter la propagation latérale
• Contacter l'ANSSI ou le CERT-FR en cas d'incident — leur accompagnement est gratuit pour les collectivités publiques et leur expertise technique est précieuse en phase de réponse à incident
• Explorer le dispositif MonAideCyber de l'ANSSI et les financements de l'ANCT pour renforcer la posture de sécurité des SI municipaux de manière proactive