En décembre 2025, les fuites attribuées à des groupes d’extorsion dessinent une cartographie simple pour 2026 : les victimes françaises s’empilent par vagues, avec un pic juste après Noël, et un acteur qui revient sans cesse, Qilin.
Décembre 2025 ressemble à un calendrier de l’Avent inversé. Au lieu de chocolats, la liste aligne des organisations, des horodatages, et des signatures de groupes. Le calcul est direct, il repose uniquement sur les lignes transmises : 25 entrées sur le mois. La distribution n’est pas uniforme, elle s’organise en pics. Le 26 décembre concentre 6 victimes à lui seul, ce qui en fait la date la plus chargée. Le 19 décembre et le 17 décembre comptent chacun 2 entrées, comme les 10, 9 et 3 décembre. Le reste du mois est ponctué de cas isolés, le 28 décembre, le 22, le 16, le 11, le 8, le 7, le 6 et le 1er.
Dans ce type de listes constituée par ZATAZ des cyber attaques de type ransomware (ransongiciel qui n’ont rien à voir avec les cyber attaques vécues, entre autre, par La Poste ou Mondial Relay), la date n’est pas un détail administratif. Elle raconte une tactique. Les fêtes offrent une fenêtre idéale, effectifs réduits, équipes d’astreinte, prestataires plus lents à mobiliser, et des utilisateurs qui continuent à travailler, parfois à distance. L’effet est mécanique : une panne ou un chiffrement au mauvais moment coûte plus cher, et la pression psychologique grimpe. Le 26 décembre, avec 6 victimes, sonne comme une mise en scène d’après-réveillon, quand les organisations reprennent leur souffle et découvrent, ou officialisent, l’ampleur des dégâts. Et ces chiffres ne prennent pas en compte les cyber attaques non documentées par les pirates, comme la Ville de Lens par exemple.
Qilin domine, LockBit 5 suit, les autres frappent à la marge
En additionnant les occurrences françaises par groupe sur décembre 2025, un « leader » se détache nettement. Qilin apparaît 11 fois sur 25. Viennent ensuite LockBit 5, 5 victimes, puis Devman, 3 victimes. Les autres signatures ne figurent qu’une seule fois chacune, Nightspire, Safepay, Crypto24, Worldleaks, Rhysida et Nova. Dit autrement, deux noms concentrent plus de la moitié des cas du mois, Qilin et LockBit 5 totalisent 15 victimes sur 25, soit 62,5 %.
Ce classement n’est pas qu’un palmarès. Il indique la dynamique d’extorsion visible, celle qui passe par l’affichage public de victimes ou par la revendication. Qilin, avec 10 cas, s’impose comme la signature la plus fréquente dans notre extrait, et ce, sur des organisations très différentes. LockBit 5, de son côté, concentre son pic sur une seule journée, le 26 décembre, ce qui suggère une publication groupée plutôt qu’un simple enchaînement aléatoire. ZATAZ vous montrait d’ailleurs, il y a peu, la mise en avant de LockBit d’une centaine de victimes en décembre 2025 avec sa version 5 de son outil malveillant.
Devman est moins présent en volume, mais son trio de victimes sur le mois touche des structures dont les noms évoquent des activités exposées, santé, pharmacie, services. Les signatures uniques, elles, rappellent une réalité : même quand un « leader » domine une période, l’écosystème reste fragmenté, avec des équipes opportunistes prêtes à saisir une cible au passage.
Ce que révèlent les victimes françaises de décembre
La liste de décembre 2025 mélange des noms d’entreprises, de sites en .fr, d’organisations et de structures dont l’intitulé évoque des domaines sensibles, santé, éducation, services publics locaux, logistique, industrie. Sans extrapoler au-delà des informations fournies, on peut néanmoins lire un fil rouge : les attaquants n’ont pas besoin d’un secteur unique. Ils cherchent des environnements où l’arrêt de service coûte cher, où la donnée a de la valeur, ou où la continuité d’activité est difficile à improviser.
La présence de plusieurs entités liées à la santé, Village Santé Saint Joseph Hospital, csd-drancy.com, et d’acteurs pouvant relever de services à la population, cc-estuaire, renforce l’idée que l’extorsion ne s’arrête pas à l’entreprise privée classique. L’éducation apparaît aussi, avec lfval.net et, différemment, des structures d’événementiel ou de technologie comme laval-virtual.com. La logistique est visible via Eurofret Transports Et Logistique. L’industrie et les services techniques figurent avec SASP SNCC Automatisme Solutions Process, Numalliance, Seipi ou ETMB, selon leurs dénominations.
Cette variété complique la défense collective. Les niveaux de maturité cyber sont hétérogènes, les budgets aussi, et les dépendances numériques ne se ressemblent pas. Pourtant, la conséquence est souvent identique : une organisation bloquée doit arbitrer dans l’urgence, restaurer, communiquer, et protéger ses partenaires, ses usagers ou ses clients.
Décembre 2025 affiche 25 victimes françaises et un pic net le 26 décembre. Qilin arrive largement en tête avec 10 cas, devant LockBit 5 et Devman. La leçon est moins dans le chiffre que dans le rythme : l’extorsion s’organise en salves, profite des périodes fragiles, et s’appuie sur la publicité de la victime comme levier. La question cyber à poser, désormais, est simple : combien d’organisations françaises ont réellement testé un plan de continuité pendant une semaine “creuse”, quand l’attaque tombe précisément au moment où tout le monde est absent ?
En 2025, 176 entreprises hexagonales (130 en 2024) ont été victimes de rançongiciels, avec des données diffusées sur Internet et sur le dark web. Combien n’apparaissent pas, ayant préféré payer ?
|
Enquêtes, cyberveille, fuites, actu sécurité : recevez nos informations cyber là où vous êtes. |
|
Chaque samedi matin, le meilleur moyen de ne rater aucune info cyber. |
