Cémoi revendiqué par Qilin : le chocolatier de Perpignan sur le portail DLS
Le 13 juillet 2026, le groupe Qilin ajoute le chocolatier français Cémoi à son site de fuite. Aucun échantillon publié à ce stade : phase de négociation classique. Pas de communiqué de l'entreprise.
Le 13 juillet 2026, le groupe ransomware Qilin ajoute Cémoi, chocolatier français fondé en 1814 et basé à Perpignan, sur son portail de fuite (data leak site, DLS). L'entrée est recensée par le tracker Ransomware.live, qui horodate la détection au 14 juillet 2026 à 00:00:59 (UTC+3). Aucun échantillon n'est diffusé à ce stade : la posture correspond à la phase de négociation classique des groupes RaaS — la menace de publication est maintenue pour peser sur le paiement, sans preuve publique qui érode le levier.
Périmètre revendiqué
D'après info.fr, la revendication mentionne des documents internes, commerciaux et financiers de Cémoi. Aucun volume précis n'est indiqué par Qilin dans l'entrée du DLS et aucun échantillon n'est joint à la revendication à cette heure. Sans échantillon, l'authenticité et l'ampleur du jeu de données restent invérifiables de l'extérieur.
Cémoi opère quatorze usines dans le monde dont neuf en France, pour une production annuelle d'environ 200 000 tonnes de chocolat, essentiellement en marque de distributeur pour la grande distribution. Le groupe ne s'est pas prononcé publiquement sur la revendication à la date de ce billet — ni communiqué, ni notification client, ni saisine confirmée de la CNIL.
Statut de l'exploitation
- Revendication publique sur le DLS Qilin depuis le 13 juillet 2026.
- Aucun échantillon diffusé publiquement à ce stade — phase de négociation présumée.
- Aucune contre-vérification indépendante du jeu de données par une autorité française (CNIL, ANSSI) ni par un tiers de confiance à cette heure.
- Pas de vecteur d'accès initial communiqué par Qilin ni par une source tierce fiable.
À traiter comme une revendication non confirmée officiellement tant que Cémoi, un régulateur ou un CSIRT ne se prononce pas — la présence d'une victime sur un DLS Qilin est un fait observable (l'entrée existe, plusieurs trackers l'ont enregistrée), l'ampleur réelle de l'exfiltration en est un autre.
Que faire
Pour les partenaires, clients grande distribution et fournisseurs de Cémoi :
- Suivre la publication d'échantillons sur le DLS Qilin dans les jours qui viennent — c'est le signal qui distingue « négociation en cours » de « publication complète ». Les trackers publics (Ransomware.live, RansomLook) tiennent le suivi en quasi-temps réel.
- Anticiper le phishing thématique ciblant les interlocuteurs commerciaux et comptables. Une base de contrats et de correspondances commerciales — si elle est bien dans le lot exfiltré — permet de fabriquer des messages d'usurpation crédibles (changements de RIB, avoirs à valider, relances de facturation). Traiter avec méfiance les messages « urgents » provenant ou prétendant provenir de Cémoi jusqu'à clarification.
- Rappeler les procédures internes de validation des changements de RIB aux équipes comptabilité fournisseurs. La fraude au président / au faux fournisseur exploite exactement le contexte créé par ce type d'incident.
Pour les responsables sécurité de l'agroalimentaire français :
- Réviser la posture de segmentation OT / IT — l'agroalimentaire cumule un patrimoine SI classique (ERP, CRM, messagerie) et un patrimoine industriel (SCADA, MES, production). Les affidés Qilin recherchent le premier pour l'extorsion et menacent l'arrêt du second pour maximiser la pression.
- Auditer les accès distants tiers — infogérance, prestataires ERP, éditeurs métier. Les incidents récents dans le secteur ont massivement transité par la surface tiers plus que par une intrusion frontale.
- Tester la restauration hors-ligne des sauvegardes de bases métier, pas seulement leur existence. Le facteur de coût dans une négociation Qilin est presque toujours la vitesse à laquelle la victime peut redémarrer sans concession.
Contexte
Cémoi vient allonger une liste déjà chargée d'industriels agroalimentaires français revendiqués publiquement : Lactalis, JBS France, Laurent-Perrier, Jean Floc'h, Dalloyau. Selon le suivi tenu par Ransomware.live pour la France, Qilin figure parmi les enseignes les plus actives contre les cibles françaises, deuxième pays le plus visé par ses affidés après les États-Unis. Le profil grand public dressé par franceinfo — lycées paralysés, mairies visées — recouvre le même motif : sur les cibles françaises hors CAC 40, la surface exposée est mal segmentée et les affidés Qilin y trouvent un rendement d'exfiltration élevé pour un coût d'accès faible. La revendication contre Cémoi s'inscrit dans cette continuité, pas dans une escalade ponctuelle.