Le groupe de rançongiciels notoire Qilin a revendiqué la responsabilité d’une violation affectant l’Église de Scientologie. Le groupe a déclaré avoir obtenu des documents internes et publié des fichiers exemples sur son site web. L’organisation n’a pas confirmé cette violation. À ce stade, l’affirmation reste non vérifiée et il n’existe aucune preuve indépendante que les données publiées par les attaquants soient authentiques.
Le groupe de ransomware Qilin affirme avoir accédé à des systèmes internes appartenant à l’Église de Scientologie et publié un ensemble de fichiers exemples. Le groupe a publié 22 documents qu’il a qualifiés d’une branche basée au Royaume-Uni. Le matériel comprend des documents financiers internes, des formulaires administratifs, des documents liés aux membres et des documents de visa pour les travailleurs religieux. L’Église de Scientologie n’a pas confirmé la faille, et l’authenticité des fichiers divulgués n’a pas été vérifiée par des enquêteurs indépendants.
Selon le groupe, les éléments divulgués ont été pris lors d’une intrusion récente impliquant des systèmes stockant des informations administratives et opérationnelles. Les documents présentés comme preuve comprennent des demandes de financement pour des visas de travailleurs religieux, des feuilles budgétaires, des registres de facturation, des listes de dépenses liées à des événements et des graphiques organisationnels internes. Certains éléments semblent impliquer un traitement d’adhésion ou des demandes de mise à niveau. Les analystes ayant examiné les échantillons publiés publiquement ont déclaré que ces documents ressemblent à des documents administratifs internes, mais ont noté que la confirmation nécessite une analyse médico-légale. À ce stade, il n’existe aucune indication officielle que les ensembles de données sont exacts, complets ou actuels.
Les chercheurs ont indiqué que Qilin revendique fréquemment la responsabilité d’incidents très médiatisés et utilise fréquemment des échantillons de données initiales pour faire pression sur les victimes. Ils ont ajouté que le groupe cible régulièrement les organisations qui gèrent de grands volumes de données personnelles ou financières. L’attaque revendiquée contre l’Église de Scientologie s’inscrit dans ce schéma, mais n’a pas encore été étayée par des résultats techniques en dehors des déclarations du groupe lui-même.
Qilin utilise un modèle de ransomware en tant que service. Ses affiliés mènent des attaques et partagent les recettes de la rançon avec les opérateurs. Le groupe est apparu pour la première fois en 2022 et a étendu ses activités dans plusieurs régions. Les rapports de sécurité de 2024 et 2025 montrent une activité affectant les prestataires de soins de santé, les entreprises manufacturières, les établissements d’enseignement et les services gouvernementaux. Le groupe est connu pour compter sur la double extorsion. Cela implique le vol de données combiné à des efforts pour rendre les systèmes inaccessibles. Les victimes sont ensuite informées que les données volées seront publiées si les exigences ne sont pas satisfaites.
Les enquêteurs ont indiqué que les affiliés Qilin lancent souvent des attaques via des identifiants compromis, des vulnérabilités dans les systèmes d’accès distant ou des faiblesses dans des outils tiers. Une fois à l’intérieur d’un réseau, les attaquants recueillent des informations, tentent de se déplacer latéralement et extraient des données. Ils peuvent désactiver les contrôles de protection ou les sauvegardes avant d’activer le chiffrement des fichiers. La diffusion de cette méthode a augmenté le nombre d’organisations à risque, y compris les organisations à but non lucratif et les institutions religieuses qui tiennent des archives internes détaillées.
Si l’affirmation de Qilin concernant l’Église de Scientologie est exacte, les informations divulguées pourraient inclure des identifiants personnels, des détails financiers et des documents organisationnels sensibles. L’exposition des documents de visa et des données d’adhésion pourrait exposer les individus au risque de vol d’identité ou de fraude ciblée. Les documents financiers ou organisationnels internes peuvent révéler des procédures confidentielles qui ne sont pas destinées à être rendues publiques. Les analystes ont indiqué que les fuites provenant de groupes religieux ou à but non lucratif créent souvent des sensibilités supplémentaires car elles peuvent impliquer des informations liées à des membres privés, généralement protégées par des règles de confidentialité ou organisationnelles.
Les praticiens de la cybersécurité ont déclaré que les organisations gérant des données internes sensibles nécessitent des contrôles d’accès stricts, des audits réguliers et une forte segmentation entre les systèmes administratifs et opérationnels. Ils ont noté que des groupes comme Qilin exploitent souvent des zones où les systèmes hérités croisent des outils modernes de communication ou de gestion de documents. Sans examen régulier, ces systèmes peuvent devenir vulnérables au vol ou à l’intrusion de titres.
L’Église de Scientologie n’a pas publié de déclaration publique concernant cette violation alléguée. Des demandes de commentaire ont été signalées, mais aucune réponse n’avait été communiquée au moment du reportage. L’absence de confirmation fait que l’étendue et la précision de la fuite restent floues. Les analystes ont indiqué qu’une interprétation prudente est nécessaire jusqu’à ce qu’une enquête formelle ou une évaluation par un tiers confirme si un accès non autorisé a eu lieu. Dans des incidents passés impliquant d’autres organisations, des fichiers types publiés par des groupes de menace ont varié de précis à trompeurs ou incomplets.
Les personnes qui pensent avoir pu être affectées doivent surveiller les messages suspects ou les tentatives d’obtenir des informations personnelles. Les conseillers en sécurité recommandent de mettre à jour les mots de passe des comptes concernés, d’activer l’authentification à deux facteurs lorsque cela est possible, et de rester vigilant face aux références inattendues des communications internes.
Pour faire face à des intrusions à grande échelle de ce type, les experts recommandent de revoir l’architecture réseau, de mettre en place des procédures de gestion des accréditations renforcées et d’exercer une surveillance attentive des systèmes d’accès à distance. Un examen régulier de la journalisation et du suivi peut améliorer la détection des tentatives d’intrusion en phase précoce. Les organisations qui gèrent des informations personnelles peuvent également être tenues d’informer les régulateurs si des violations sont confirmées.
L’attaque revendiquée reflète l’élargissement des cibles sélectionnées par les groupes de ransomware. Bien que les entités commerciales restent les victimes les plus fréquentes, les organisations religieuses et à but non lucratif stockent de plus en plus de grands ensembles de données qui peuvent être précieux pour les attaquants. Jusqu’à ce qu’une vérification indépendante soit disponible, l’incident reste une affirmation non confirmée basée sur le matériel publié par le groupe.