Skip to content
hacker_posts

Eyguières : la mairie chiffrée par Qilin, données habitants exposées

Le système d'information de la mairie d'Eyguières (Alpilles, 7 000 habitants) est tombé le 22 mai. Le groupe Qilin est cité, les gendarmes de Salon-de-Provence enquêtent.

Publié le 5 min de lecture
fuiteransomwareqilincollectivitesfrance

La mairie d'Eyguières (Bouches-du-Rhône, environ 7 000 habitants) a été victime d'une attaque par rançongiciel le vendredi 22 mai 2026. L'ensemble du système d'information municipal est tombé. Selon Cyberattaque.org et la fiche d'alerte publiée le 25 mai par FrenchBreaches, le groupe Qilin est cité comme responsable. Aucun communiqué officiel de la commune ne confirme à ce stade le nom de l'opérateur ; l'attribution provient des deux observateurs francophones cités, qui suivent les revendications sur le leak site Qilin et sur ransomware.live.

Ce qui est tombé

L'attaque a mis hors service l'infrastructure informatique de la mairie. Les services administratifs au public — état civil, urbanisme, accueil — fonctionnent en mode dégradé depuis le week-end du 23-24 mai. Les sources locales évoquent une compromission probable des données municipales et des données personnelles des administrés ; le périmètre exact reste à déterminer.

Côté méthode, Qilin opère depuis 2022 selon le modèle ransomware-as-a-service : des affiliés mènent l'intrusion, exfiltrent puis chiffrent, et publient progressivement les données sur le leak site du groupe si la rançon n'est pas payée. La double-extorsion est la signature de l'écosystème — pas une particularité d'Eyguières.

Enquête

Les gendarmes de la compagnie de Salon-de-Provence et la brigade de recherche sont mobilisés. L'enquête vise à reconstituer la chaîne d'intrusion et à restaurer les systèmes affectés ; des enquêteurs spécialisés en cybercriminalité peuvent être saisis pour l'analyse technique. La commune n'a pas, au moment où nous écrivons, communiqué publiquement sur le périmètre des données exfiltrées ni sur un éventuel paiement.

Statut de la revendication

La fiche FrenchBreaches du 25 mai liste la mairie d'Eyguières comme victime publiée sur le portail de Qilin. Sans accès indépendant au leak site, il est impossible de confirmer le volume exact des fichiers ou la nature précise des données mises en ligne. Les communications publiques d'opérateurs de rançongiciel sont régulièrement exagérées et doivent être traitées comme un point de départ d'enquête, pas comme une preuve d'exfiltration.

Que faire si vous êtes administré

  1. Pas de paiement à un tiers se réclamant de la mairie. Une attaque de ce type est typiquement suivie de tentatives de phishing visant les administrés, avec des courriels imitant la commune pour réclamer un règlement urgent. Toute demande de paiement doit être validée par téléphone via les coordonnées officielles imprimées sur un courrier antérieur, pas sur un email reçu après l'attaque.
  2. Surveillez vos comptes (impôts, banque, CAF, France Travail) dans les semaines à venir. Les données d'état civil et les justificatifs de domicile sont les briques de base de la fraude à l'identité visée par les revendeurs de bases volées.
  3. Si vous êtes agent municipal, partez du principe que vos identifiants professionnels — messagerie, accès à l'intranet, comptes prestataires — sont compromis tant que la collectivité n'a pas confirmé le contraire. Rotation des mots de passe et activation du MFA partout où c'est possible.

Que faire si vous opérez une collectivité

  1. Vérifiez l'exposition de vos accès distants. Qilin et ses affiliés exploitent en routine des accès VPN, RDP et SSL-VPN sans MFA, ainsi que des appliances en bout de fin de support. Inventaire, MFA, mise à jour — dans cet ordre.
  2. Testez vos sauvegardes en isolation. Une sauvegarde qu'un administrateur du SI peut atteindre depuis sa session est une sauvegarde qu'un rançongiciel atteint aussi. Les copies immuables ou hors ligne sont la dernière ligne de défense quand le chiffrement passe.
  3. Préparez le plan de notification CNIL. En cas de violation de données à caractère personnel, la notification doit être faite dans les 72 heures suivant la prise de connaissance. La CNIL a publié le 27 mai 2026 une fiche pédagogique qui détaille la chaîne de notification quand un sous-traitant est impliqué — utile pour cadrer les responsabilités avant l'incident, pas après.
  4. Plan de continuité papier. L'état civil, les actes d'urbanisme et l'accueil doivent pouvoir fonctionner en mode déconnecté pendant plusieurs jours. Documentez-le, testez-le, imprimez-le.

Contexte

Eyguières s'ajoute à une liste qui s'allonge chaque semaine de communes françaises frappées par un rançongiciel en 2026. Selon les estimations sectorielles relayées par la presse spécialisée, plus de 320 collectivités ont déclaré un incident significatif depuis janvier — mairies, conseils départementaux, intercommunalités. Le ciblage n'a rien d'aléatoire : les petites et moyennes communes concentrent des données nominatives sensibles (état civil, fichiers sociaux, ressources humaines), un parc IT souvent vieillissant, et une cellule cybersécurité réduite à un prestataire externe. Trois conditions qui font d'elles une cible à faible coût pour un affilié de RaaS.

Le démantèlement de First VPN en mai par l'opération franco-néerlandaise Saffron montre que la coopération judiciaire monte en puissance contre l'écosystème, mais elle ne raccourcit pas le délai de récupération d'une petite collectivité prise au piège. Sur le terrain, c'est encore et toujours l'hygiène — MFA, sauvegardes immuables, segmentation — qui décide si une attaque est un incident ou une crise municipale de plusieurs semaines.

Articles liés