Lycées paralysés, mairies visées... On vous présente Qilin Ransomware, à l'origine de nombreuses cyberattaques en France et dans le monde

Des lycées du nord de la France aux mairies des Pyrénées-Orientales, un nom revient avec inquiétude : Qilin. Ce mot désigne un animal mythologique asiatique, mais c'est aussi le nom choisi par les concepteurs d'un logiciel malveillant qui paralyse 80% des lycées publics des Hauts-de-France depuis le 10 octobre.

Qilin Ransomware arbore également à son tableau de chasse les mairies d'Elne et de Font-Romeu-Odeillo-Via (Pyrénées-Orientales), selon La Tribune, ainsi que des groupes d'hôpitaux britanniques et américains. Mais en quoi consiste au juste Qilin Ransomware ? Comment fonctionne le logiciel malveillant employé ? Quelles sont les méthodes des cybercriminels ? Et qui se cache derrière ce programme ? Franceinfo fait le point.

C'est quoi Qilin Ransomware ?

Le nom "Qilin" ne désigne en fait pas un logiciel malveillant, ni même ses concepteurs ou les pirates qui l'utilisent. Qilin est considéré par les spécialistes comme une "enseigne" ou une "franchise" : un genre de marque à laquelle souscrivent des pirates "affidés", qui peuvent ainsi accéder à un logiciel malveillant et des services supplémentaires (mises à jour, site pour diffuser les demandes de rançon et les données volées…) pour mener leur basse besogne, en échange d'une part de leur butin.

L'histoire de Qilin débute en 2022. A l'époque, de premières données volées grâce à un logiciel du nom d'"Agenda" sont publiées et repérées par le site spécialisé Trend Micro, avant que le nom Qilin ne soit choisi à l'automne. "Je suis enclin à penser qu'à l'origine, ce groupe de pirates fonctionnait comme un groupe fermé, plus ou moins monolithique, et qu'il se serait ensuite ouvert graduellement à des affiliés", explique à franceinfo Valéry Rieß-Marchive, spécialiste des rançongiciels et rédacteur en chef du site spécialisé LeMagIT.

Dans ce secteur des "franchises" cybercriminelles, Qilin est l'un des champions. "C'est l'une des deux franchises les plus visiblement actives actuellement, avec Akira", souligne auprès de franceinfo Julien Mousqueton, fondateur du site spécialisé ransomware.live.

Comment fonctionnent les attaques assistées par Qilin ?

Le logiciel malveillant fourni par Qilin est un "ransomware" (ou rançongiciel en français). Il chiffre les données de sa victime pour les rendre inutilisables, à moins qu'elle paie une rançon pour obtenir une clé de déchiffrement. C'est pourquoi le business model de Qilin est surnommé "Ransomware as a service" (RaaS), de la même manière qu'un logiciel exploitable sans installation est surnommé "software as a service" (SaaS), comme Microsoft Office 365, Canva ou Slack.

Les affiliés de Qilin peuvent recourir à de nombreux modes opératoires pour atteindre leurs victimes. Ces techniques incluent le hameçonnage ciblé (ou "spearphishing"), c'est-à-dire l'envoi de messages piégés usurpant l'identité d'un expéditeur légitime pour détourner la vigilance de la victime, ainsi que l'exploitation de failles dans les logiciels de contrôle et gestion à distance, détaille par exemple l'entreprise de sécurité Qualys. Valéry Rieß-Marchive évoque également "l'utilisation d'identifiants légitimes volés via d'autres logiciels, comme des 'infostealers'".

Les pirates affiliés à Qilin recourent en général à une pratique dite de "double extorsion". Ils utilisent le rançongiciel pour chiffrer les données de la victime, ce qui perturbe son activité, mais volent également tout ou partie des données qu'ils menacent ensuite de divulguer, sauf si la cible accepte de payer la rançon, explique l'entreprise de cybersécurité Blackpoint dans un document dédié à Qilin Ransomware.

Qui sont les victimes ?

Les victimes des logiciels de Qilin sont très variées : le géant de la bière Asahi au Japon, une filiale d'Airbus au Mexique, le district scolaire d’Uvalde aux Etats-Unis ou encore l'entreprise de santé britannique Synnovis. Et il est difficile de savoir comment ces cibles ont été choisies. Valéry Rieß-Marchive penche principalement pour des attaques souvent "opportunistes" et "animées par l’appât du gain".

L'entreprise de sécurité Qualys évoque "un ciblage stratégique" de trois secteurs "où les paiements [de rançons] sont plus probables : l'industrie manufacturière, les services légaux et professionnels et les services financiers". Mais comme le prouvent les victimes françaises, les autres secteurs ne sont pas épargnés. La France est d'ailleurs le deuxième pays le plus ciblé par les affiliés de Qilin, loin derrière les Etats-Unis, selon la liste établie par le site ransomware.live.

La franchise a revendiqué près de 830 victimes depuis l’automne 2022, selon le recensement de Valéry Rieß-Marchive, avec plus de 70 revendications en avril, juin, août et septembre 2025. Le site ransomware.live dénombre quant à lui 950 victimes revendiquées depuis septembre 2022.

Le nombre de victimes revendiqué n'est cependant pas un indicateur fiable à 100% de l'activité d'une franchise cybercriminelle. Les pirates peuvent se vanter d'avoir frappé des cibles d'envergure pour gagner en visibilité, même si elles n'ont finalement pas été affectées. Certaines victimes peuvent également ne pas être revendiquées, car pas assez impressionnantes aux yeux des autres pirates.

Pourquoi Qilin est-il aussi populaire dans le monde cybercriminel ?

La percée de Qilin depuis le printemps dernier s'explique par la fragilisation d'autres franchises connues. "Il y a eu beaucoup de mouvements dans l'écosystème cybercriminel depuis le début de l'année", note Valéry Rieß-Marchive, qui évoque la disparition subite d'une autre franchise populaire (RansomHub), ou le déclin d'une autre (Black Basta), accéléré par des fuites de messages internes au groupe.

Tout cela peut inciter les cybercriminels à aller se cacher derrière d'autres franchises plus stables. "Quand une franchise a l'air d'avoir du succès, cela peut suggérer qu'elle possède des techniques qui permettent de mener de nombreuses attaques, donc de gagner beaucoup", souligne Valéry Rieß-Marchive. Qilin "respecte aussi une certaine confidentialité", note Julien Mousqueton. "C'est très compliqué d'avoir accès aux négociations entre le pirate et sa victime, contrairement à d'autres franchises qui permettent de les diffuser volontairement si cela peut être un levier supplémentaire pour obtenir la rançon", décrit le réserviste chargé de la prévention des cybermenaces au sein de l'Office anticybercriminalité (Ofac).

Qui se cache derrière cette franchise ?

Personne ne le sait avec certitude. Certains indices pointent vers une implication de développeurs russophones : "Les pirates affiliés ont tendance à éviter de cibler les organisations établies dans la Communauté des Etats indépendants", à savoir des pays de l'ex-URSS (Azerbaïdjan, Biélorussie…), selon les rapports d'entreprise de cybersécurité comme Check Point.

Mais Valéry Rieß-Marchive invite à la plus grande prudence. "On ne peut pas exclure une tentative de tromperie, où un acteur malveillant voudrait brouiller les pistes en reprenant des usages cohérents avec une autre zone géographique que la sienne", insiste le spécialiste, qui rappelle que "rien ne nous dit que les fournisseurs ne soient pas russes, français, allemands, américains, canadiens…"

"L'écosystème cybercriminel est bien plus mondialisé qu'on a généralement tendance à le présenter."

Valéry Rieß-Marchive, rédacteur en chef du site LeMagIT et spécialiste des rançongiciels

à franceinfo

Valéry Rieß-Marchive rappelle que "les franchises elles-mêmes, comme Qilin, ne sont en général que des écrans de fumée pour les véritables cybercriminels, qui ont tout intérêt à brouiller les pistes et à changer de crèmerie en passant régulièrement d'une vitrine à l'autre". Dans ce secteur, toutes les méthodes sont bonnes à prendre pour masquer ses traces.