La ville française d’Elne, dans les Pyrénées-Orientales, a été frappée par une attaque par rançongiciel à la mi-octobre 2025, perpétrée par le groupe de cybercriminels Qilin, selon des renseignements de cybersécurité confirmés par des sources spécialisées. Bien que l’intrusion ait été détectée le 15 octobre, les autorités locales et le maire Nicolas Garcia n’ont publié aucun communiqué officiel au sujet de l’incident, laissant les habitants dans l’ignorance d’une éventuelle compromission de données ou de perturbations de services.
Une version précédente de cet article indiquait que « les principales plateformes de suivi des rançongiciels, dont ransomware.live et Darkfeed, n’avaient pas encore répertorié l’attaque » et attribuait à HookPhish l’identification du groupe à l’origine de l’incident.
Après vérification, ces informations se sont révélées inexactes.
Le site ransomware.live a bien publié le jour même la revendication du groupe Qilin, avant sa reprise par d’autres plateformes de veille. Le site HookPhish n’effectue pas de recherches directes de revendications, mais agrège des données issues de flux de renseignement publics à des fins de sensibilisation.
L’article ci-dessous a été mis à jour afin de corriger ces éléments et de garantir une information exacte et transparente.
L’attaque constitue une faille de sécurité majeure pour cette ville méditerranéenne de 12 000 habitants, bien que l’ampleur réelle de la compromission demeure inconnue.
Le groupe de rançongiciel Qilin a revendiqué l’incident sur son site vitrine, une information publiée le jour-même sur la plateforme de veille ransomware.live, avant d’être reprise par d’autres sources du renseignement en cybersécurité.
Contrairement à certaines interprétations initiales, HookPhish ne procède pas lui-même à la recherche ou à la validation de revendications. Le site agrège des données provenant de flux de renseignement accessibles publiquement à des fins de veille et de sensibilisation. Ses marqueurs temporels indiquent d’ailleurs qu’il s’alimente en partie à partir de sources ouvertes telles que ransomware.live.
Les autres plateformes de suivi, comme Darkfeed, n’avaient pas encore référencé l’incident au moment de la rédaction, ce qui suggère une visibilité encore limitée dans la communauté de la cybersécurité. Cette discrétion contraste avec la gravité potentielle d’une intrusion visant une administration municipale.
Le black-out informationnel s’étend à l’ensemble des canaux officiels. Des recherches approfondies dans les médias régionaux, notamment L’Indépendant et France Bleu Roussillon, n’ont révélé aucune couverture de la cyberattaque. Ni la Préfecture des Pyrénées-Orientales ni l’Agence nationale de la sécurité des systèmes d’information (ANSSI) n’ont émis d’alerte ou de recommandations concernant l’incident.
Des questions essentielles sur l’impact de l’attaque demeurent sans réponse. L’étendue de la compromission des systèmes, les perturbations éventuelles des services municipaux et l’éventuelle exfiltration de données sensibles des citoyens restent inconnues. De même, on ignore si Qilin a exigé le paiement d’une rançon ou comment les autorités locales ont réagi à d’éventuelles exigences.
Qilin, également connu sous le nom Agenda, s’est imposé comme une opération de rançongiciel sophistiquée, ciblant aussi bien le secteur public que privé. Le groupe recourt généralement à des tactiques de double extorsion, menaçant de divulguer les données volées si les demandes de rançon ne sont pas satisfaites.
Le décalage entre la présence de traces techniques publiques de l’attaque et l’absence totale de déclaration officielle soulève des inquiétudes quant à la transparence et à l’information des citoyens. Sans communication institutionnelle, les habitants ne peuvent pas évaluer leur exposition ni prendre des mesures de protection en cas de compromission de leurs données.
L’incident met en lumière les vulnérabilités persistantes des infrastructures municipales face aux cybermenaces, en particulier dans les petites communes où les moyens et l’expertise en cybersécurité restent limités. Le silence entourant l’attaque d’Elne peut indiquer soit des actions de remédiation en cours, soit une volonté de limiter la médiatisation avant la clôture de l’enquête.
À la date de publication, ni le cabinet du maire Garcia ni les autorités municipales n’ont répondu aux sollicitations concernant les rapports de renseignement de cybersécurité documentant l’intrusion d’octobre.
