ZATAZ » Qilin vise la Scientologie et des entreprises… beaucoup d’entreprises

Qilin, groupe de ransomware « très » actif sur le dark web, affirme avoir piraté plusieurs organisations dans divers pays, de la construction de pipelines aux cabinets d’avocats, en passant par un collège technique et une grande chaîne de décoration. Parmi ces cibles, la branche Advanced Organization Saint Hill de la Scientologie au Royaume-Uni occupe une place à part, avec la mise en ligne de documents internes récents. Le gang n’a rien de nouveau, il en existe des dizaines comme ces maêtres chanteurs. Cependant, le volume de victime dépasse celui de LockBit, en son temps. Et ça, c’est inquiétant !

Victimes multiples et stratégie de mise en scène de Qilin

Selon les revendications publiées par Qilin sur son site de fuites, le groupe dit avoir compromis un ensemble hétérogène de cibles réparties sur plusieurs pays. Aux États-Unis, il cite ainsi Kana Pipeline Inc, société de génie civil et de construction installée en Californie et spécialisée dans les infrastructures de pipelines enterrés. Il revendique aussi une intrusion chez Medisend, un collège de technologie en ingénierie biomédicale basé à Dallas, structuré comme organisme éducatif à but non lucratif. À ces victimes américaines s’ajoutent Peter Meijer Architect, cabinet d’architecture et de préservation historique situé à Portland, Institutional & Supermarket Equipment, réseau de fournisseurs de réfrigération, de CVC et de services alimentaires dont le siège est en Floride, ainsi que McManes Law, cabinet d’avocats en dommages corporels basé à Alpharetta en Géorgie. En France, Qilin a fait grand bruit en s’attaquant à une structure de la Région des Hauts-de-France mettant au tapis plus de 250 lycées [voir le sujet sur France 3 Hauts-de-France]. Par exemple, depuis l’attaque, 7 000 postes administratifs et 95 000 ordinateurs pédagogiques ont été restaurés. Il manque, deux mois aprés (et au moment de l’écriture de cet article), 220 serveurs pour tout relancer. 50 ont été remis en place début décembre. Une vraie prouesse technique et humaine. Mais Quid des données volées ?!

Dédiée aux entreprises, institutions et particuliers.

A PARTIR DE 0,06€ PAR JOUR

Le groupe ne se limite donc pas au territoire américain. Il affirme aussi viser Espaço Casa, chaîne portugaise de magasins d’articles pour la maison et de décoration, ainsi que Maset Vinos y Cavas, producteur et distributeur espagnol de vins vendus en direct aux consommateurs.

Enfin, la liste inclut une cible particulièrement sensible sur le plan symbolique et en matière de renseignement humain, la branche Advanced Organization Saint Hill de l’Église de Scientologie au Royaume-Uni.

Pour appuyer ses déclarations, Qilin publie des indicateurs précis concernant le volume de données volées pour certaines victimes. Pour Kana Pipeline, le groupe mentionne 334 950 fichiers représentant 450 Go de données. Pour Medisend, il évoque 45 205 fichiers pour un total de 303 Go. Un ensemble principal de 5 356 fichiers, d’une taille globale de 17 Go, est également mis en avant, sans précision publique sur l’entité concernée. Pour Espaço Casa, le gang se contente d’indiquer la diffusion de treize photographies et de documents non détaillés, comprenant notamment des factures.

Dans le cas de la Scientologie, Qilin affirme disposer d’un volume important de fichiers internes, même s’il ne donne pas de chiffre global. Les échantillons publiés à ce stade évoquent des documents internes tels que des dossiers de travail du personnel ou des demandes de visa. La page de fuite consacrée à la Scientologie a déjà été vue plusieurs centaines de fois, et le groupe laisse entendre que la campagne de divulgation n’est pas terminée. Cette mise en scène graduelle, fréquente dans les opérations de ransomware, sert à accroître la pression psychologique, nourrir la publicité du gang et maximiser la valeur d’extorsion.

Comme à son habitude, Qilin encadre ses publications par des éléments de contact et de branding criminel. En bas de la page de fuite apparaissent un code QR et une adresse TOX, permettant d’établir des communications chiffrées directes avec le groupe, ainsi qu’un lien vers un blog onion baptisé WikileaksV2. Ce dernier concentre des textes de propagande rédigés par le gang, revenant sur ses attaques les plus médiatisées et construisant une image d’« éditeur » pseudo-politique, alors que la logique première reste l’extorsion financière.

Scientologie : une cible à forte valeur symbolique et informationnelle

L’Église de Scientologie, fondée en 1954 par l’écrivain de science-fiction L. Ron Hubbard, occupe une place singulière dans l’imaginaire public, en particulier aux États-Unis. Basée à Los Angeles, fortement associée à plusieurs figures hollywoodiennes, l’organisation revendique plus de 10 millions de membres dans le monde. Les estimations évoquées situent pourtant le nombre réel d’adeptes entre 20 000 et 50 000, la majorité étant active aux États-Unis. La salle de presse officielle de la Scientologie met en avant l’existence de plus de 11 000 églises, missions et groupes affiliés depuis 2004, répartis dans 167 pays.

Cette forte exposition médiatique s’accompagne de controverses anciennes et nombreuses. Plusieurs pays européens qualifient la Scientologie de religion à caractère sectaire, mettant en avant un mode de fonctionnement interne jugé opaque et autoritaire. Sur le plan judiciaire, l’organisation a dû faire face à des actions en justice menées par d’anciens adeptes, parmi lesquels l’actrice Leah Remini, qui évoque des violences physiques et psychologiques. Elle a été condamnée pour fraude en France, poursuivie pour harcèlement dans deux affaires distinctes et reconnue coupable d’espionnage au Canada.

La doctrine de la Scientologie, issue de l’univers de la science-fiction, repose sur la notion de Thétans, des êtres spirituels éternels qui auraient oublié leur nature véritable. L’Église affirme accompagner ces Thétans sur un parcours structuré, le « Pont vers la liberté totale », qui promet, pour ceux qui avancent dans les niveaux, une élévation de la conscience et une forme d’émancipation par rapport au monde matériel. Certains récits internes réservés aux membres de haut rang évoquent des épisodes cosmiques, comme une ancienne civilisation détruite, des humains transportés par des vaisseaux spatiaux et déposés sur Terre par un souverain galactique nommé Xenu. Ces éléments doctrinaux contribuent à la fascination, mais aussi aux critiques qui entourent le mouvement.

Pour un groupe de ransomware, une institution aussi médiatisée combine plusieurs atouts : visibilité maximale, utilisation intensive de la confidentialité interne, base de membres potentiellement fortunés et historique de contentieux avec les autorités. Les documents internes d’un tel mouvement peuvent avoir une valeur marchande élevée, non seulement pour le chantage direct, mais aussi pour des adversaires, des journalistes ou des groupes de pression à la recherche de preuves sur ses pratiques. Qilin joue sur cette corde, en soulignant qu’il s’agit d’une organisation à but non lucratif et caritative, tout en laissant entendre que ses secrets pourraient peser lourd dans d’éventuelles négociations.

Des échantillons révélateurs pour la sécurité, la gouvernance et le renseignement

Les 22 fichiers publiés comme preuve proviendraient du site Advanced Organization & Saint Hill, situé dans le West Sussex au Royaume-Uni, présenté comme le principal centre opérationnel de la Scientologie dans ce pays. Outre ce site et le siège central de Los Angeles, l’Église dispose d’autres complexes Saint Hill en Afrique, en Australie, au Danemark et en Nouvelle-Zélande. Les documents mis en avant permettent déjà de dresser un premier inventaire des informations exposées et de leurs usages possibles dans une perspective de renseignement.

Plus d’un tiers des échantillons consultés datent du mois précédent, ce qui indique une compromission récente et en cours. Le document le plus récent mentionné est une demande d’argent destinée à financer un visa britannique de travailleur religieux de deux ans pour un employé. Ce type de pièce administrative dévoile des informations sur la gestion des ressources humaines, les flux financiers, les niveaux d’investissement consacrés à certains personnels et les circuits migratoires religieux utilisés par l’organisation.

D’autres documents renvoient à l’organisation d’événements récents, avec des dates s’étalant entre avril, août et octobre de cette année, ainsi que quelques fichiers remontant à 2024. Pour un analyste, ces chronologies donnent des repères sur la saisonnalité des grands rassemblements, la planification logistique, la fréquence des cérémonies internes ou des formations avancées. Un document présenté comme un détail du budget de sécurité d’un événement supposé de trois jours en 2025 est particulièrement parlant. Il évoque par exemple le recours à des chiens détecteurs d’explosifs et de patrouille, un dispositif de sécurité pour les véhicules, la location d’ambulances et indique même le nombre de gardes engagés et la répartition de leurs postes.

Pour la cybersécurité comme pour le renseignement, ce type d’information vaut bien plus que le simple montant des devis. Il donne une vision granulaire des mesures de sécurité physiques, des prestataires mobilisés, de la perception de la menace par la direction, ainsi que du dimensionnement des moyens en fonction de l’importance de l’événement. Un acteur malveillant pourrait théoriquement s’en servir pour contourner des protocoles, cibler des maillons faibles ou monter des opérations d’ingérence lors de prochains rassemblements.

Un autre document, daté du 22 octobre et marqué comme urgent, est lié à l’accession d’un membre au statut de Sea Org, niveau présenté comme l’élite du personnel scientologue, auquel les autres doivent se soumettre. Il est rappelé que cette position n’a rien d’un simple emploi, puisque les membres signent un contrat symbolique d’une durée d’un milliard d’années, censé se poursuivre à travers les réincarnations. Ces pièces internes offrent un éclairage direct sur la hiérarchie réelle, les mécanismes d’engagement et de contrôle, et la manière dont l’organisation structure la loyauté de ses cadres. Pour les services de renseignement ou les chercheurs, ce type de contenu permet de mieux cartographier les réseaux d’influence et la profondeur d’adhésion exigée… sur un milliard d’années !

De façon plus générale, les 22 échantillons donnent un aperçu de ce que pourrait contenir le reste des données, si la fuite est aussi massive que Qilin le laisse entendre. On peut y trouver des noms, des coordonnées, des rôles, des trajectoires de carrière, des visas, des dates d’événements, des budgets, autant de signaux exploitables pour des opérations de profiling, de doxxing ciblé ou d’ingénierie sociale. En exposant ces fragments, le gang de ransomware ne cherche pas seulement à démontrer qu’il détient des données, il montre qu’il possède des points d’entrée dans la mécanique interne d’une organisation controversée, ce qui augmente la pression et ouvre la porte à des exploitations secondaires par d’autres acteurs.

Source : Lire l'article original