Des intérêts économiques et stratégiques occidentales se font actuellement attaquer à travers des vols de données et des cyber-rançons revendiquées par des plateformes cybercriminelles. La dernière victime en date, Orange Madagascar, fait partie d'une longue liste sur laquelle opère une plateforme dénommée Qilin, supposée établie en Russie mais appuyée par des acteurs délocalisés ailleurs, à travers la planète.
Une série de victimes de premier plan
Le 6 mars 2026, Qilin a en effet revendiqué l'attaque sur Orange Madagascar, filiale du groupe Orange qui a déjà été sa victime en 2025. Orange Madagascar a mis une semaine pour révéler l'information au public à travers l'Express Madagascar le 13 mars 2026, après avoir "discuté" sur un canal établi par Qilin.
Qilin revendique en totalité 830 victimes publiquement affichées depuis 2022. Cette plateforme affiche une progression considérable de ses activités depuis 2024, passant cette année là d'une vingtaine de cibles par mois à plus de 70 actuellement. Les dernières victimes en date sont Orange Madagascar, Airbus Public Safety and Security au Mexique, le centre médical Shamir en Israël, le groupe Elmar (Energie) à Aruba près du Venezuela, ou encore le groupe Asahi au Japon. Non content d'atteindre des grands groupes privés, Qilin a également dérobé des données et bloqué les systèmes numériques de la commune Saint-Claude, en France, de plusieurs lycées de la région Hauts-de-France, et du district scolaire à Uvalde, aux Etats-Unis.
Dans le secteur aéronautique, à part la filiale Airbus Public Safety and Security au Mexique, le groupe Lisi, fournisseur d'Airbus et de Boeing, et Malaysia Airlines ont également été des victimes récentes de Qilin. L'activité de ce dernier a plus que triplé depuis le dernier trimestre de 2025.
Il faut savoir que Qilin agit avec des opérateurs délocalisés, ces derniers entrant en contact direct avec les victimes et partagent le "butin" avec Qilin. Ce dernier fait remonter le cash par cryptomonnaie en partageant entre 80% et 85% des résultats avec les plateformes affiliées.
Le mode opératoire de Qilin reste toujours le même, et la filiale malgache du groupe Orange n'en a pas été épargnée : intrusion dans le système de données suivie de vol du contenu, revendication publique sur une plateforme dark web suivie d'un message privé crypté, puis demande de rançon suivie de menace de publication des données sensibles, même en cas de paiement de rançon.
Fonctionnement de Qilin
Selon les spécialistes des cyberattaques, la plateforme Qilin utilise un rançongiciel (ransomware) dénommé Agenda, identifié par des enquêteurs spécialisés depuis plus d'un an. Agenda a été développé initialement par Golang (ou Go), et a permis à Qilin de se retrouver au tout premier plan sur ces activités de hacking et de demandes de rançons au niveau mondial.
Qilin est suivi d'une autre plateforme dénommée Akira dans ce secteur devenu très lucratif depuis la guerre en Ukraine en 2022. La rumeur de début de conflit au Moyen-Orient depuis le dernier trimestre 2025 et l'attaque effective sur l'Iran par les Etats-Unis et Israël en février 2026 correspond à une explosion des activités de Qilin, dont les cibles proviennent de pays alliés ou supposés alliés des Etats-Unis.
Plusieurs pays exercent une pression grandissante aux entités ciblées pour leur faire refuser de payer les rançons, car ceci alimente en toute impunité cette industrie criminelle. Au lieu de payer l'attaquant, une entité ciblée est conseillée afin de récupérer ses données sur des sauvegardes externes ou internes, ou d'utiliser des logiciels de décryptage gratuits.
Toutefois, chaque cyberattaque est munie systématiquement d'un plan B. Avant le déploiement d'une attaque avec rançons qui chiffre les données des victimes, les cybercriminels comme Qilin exfiltrent toujours des informations internes, souvent confidentielles. Ils les utilisent par la suite pour exercer une pression sur la victime pour qu’elle paie une rançon, avec une menace explicite de rendre ces informations publiques.
Cette tactique fonctionne sous la forme de double extorsion où les cibles subissent une pression par message privé. Au même moment, des fragments de leurs informations internes sont publiées, témoignant du sérieux de l'attaque menée contre elles. En cas d'échec des négociations, d’autres parties de données sont progressivement publiées pour serrer l'étau.
Souvent, les plateformes de ransomware livrent des pans entiers de données volées disponibles en téléchargement public, afin de mettre en péril la réputation des entités ciblées.
0 Commentaires