Le groupe ransomware Qilin revendique une attaque contre Die Linke, parti politique allemand au Bundestag. Données volées, plainte déposée, motivations politiques suspectées.
En bref
- Le groupe ransomware Qilin revendique une attaque contre Die Linke, parti politique de gauche allemand représenté au Bundestag.
- Des données sensibles ont été volées et le groupe menace de les publier sur son site de fuites.
- Le parti a déposé plainte et qualifie l'attaque de politiquement motivée.
Ce qui s'est passé
Le groupe de ransomware Qilin a compromis le réseau informatique de Die Linke le 27 mars 2026, forçant le parti politique allemand à une coupure de ses systèmes IT. Le parti, qui compte 123 000 membres inscrits et 64 députés au Bundestag, a initialement confirmé un incident cyber sans évoquer de vol de données. Le 1er avril, Qilin a officiellement revendiqué l'attaque en ajoutant Die Linke à sa liste de victimes sur son site de fuites, sans toutefois publier d'échantillons de données.
Die Linke a décrit les attaquants comme des cybercriminels russophones à la fois financièrement et politiquement motivés. Le parti a précisé que cette attaque « ne semble pas être une coïncidence dans ce contexte », laissant entendre un lien avec les positions politiques du parti sur la scène internationale. Une plainte pénale a été déposée auprès des autorités allemandes.
Le groupe Qilin, actif depuis 2022, s'est imposé comme l'un des groupes de ransomware les plus prolifiques. D'après les chercheurs en sécurité, Qilin utilise désormais des techniques avancées de désactivation des outils EDR via des pilotes vulnérables (BYOVD) pour contourner les défenses des organisations ciblées.
Pourquoi c'est important
L'attaque contre un parti politique représenté dans un parlement national européen marque une escalade dans le ciblage des institutions démocratiques par les groupes de ransomware. Contrairement aux attaques classiques visant des entreprises pour un gain financier, le ciblage d'un parti politique soulève des questions sur l'instrumentalisation du ransomware à des fins d'ingérence politique.
Cette affaire intervient dans un contexte où les partis politiques européens renforcent leur cybersécurité face à la multiplication des menaces, notamment à l'approche des échéances électorales. La directive NIS 2, désormais en vigueur, pourrait d'ailleurs étendre ses exigences de cybersécurité aux organisations politiques considérées comme des entités essentielles.
Ce qu'il faut retenir
- Les partis politiques et institutions démocratiques deviennent des cibles privilégiées des groupes de ransomware à motivation mixte (financière et politique).
- Le groupe Qilin utilise des techniques BYOVD pour désactiver plus de 300 outils EDR, rendant les défenses traditionnelles insuffisantes.
- Les organisations doivent renforcer leur segmentation réseau et leurs sauvegardes hors ligne pour limiter l'impact d'une compromission par ransomware.
Qu'est-ce que la technique BYOVD utilisée par Qilin ?
BYOVD (Bring Your Own Vulnerable Driver) consiste à exploiter des pilotes Windows légitimes mais vulnérables pour obtenir un accès au noyau du système d'exploitation. Depuis ce niveau de privilège, les attaquants peuvent désactiver les solutions de sécurité endpoint (EDR, antivirus) avant de déployer le ransomware, rendant l'attaque beaucoup plus difficile à détecter et à stopper.
Besoin d'un accompagnement expert ?
Ayi NEDJIMI vous accompagne sur vos projets cybersécurité et IA.
Prendre contactÀ propos de l'auteur
Ayi NEDJIMI
Auditeur Senior Cybersécurité & Consultant IA
Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense
ayi@ayinedjimi-consultants.fr
Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.
À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.
Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.
Domaines d'expertise
Ressources & Outils de l'auteur
Articles connexes
FIRESTARTER : APT persistant sur les pare-feu Cisco ASA
CISA et le NCSC britannique alertent sur FIRESTARTER, un implant déployé par l'APT UAT-4356 sur les pare-feu Cisco ASA et Firepower. Le malware survit aux patchs et aux reboots logiciels.
ADT confirme une fuite : ShinyHunters menace 10 M de clients
Le géant américain de la sécurité résidentielle ADT confirme une fuite après une attaque vishing sur Okta SSO. ShinyHunters revendique 10 millions de dossiers et fixe un ultimatum au 27 avril.
Pack2TheRoot CVE-2026-41651 : root Linux pour tous (8.8)
Une faille critique dans PackageKit (CVE-2026-41651, CVSS 8.8) permet à tout utilisateur Linux non privilégié d'obtenir root sur la majorité des distributions, du serveur Ubuntu LTS au poste Fedora.
Commentaires (1)
Laisser un commentaire