Cémoi revendiqué par le ransomware Qilin : données financières exposées
Le chocolatier français apparaît sur le portail dark web du groupe. Aucun échantillon publié à ce stade.
Le groupe Qilin a ajouté Cémoi à son portail dark web le 13 juillet. Documents internes, commerciaux et financiers menacés d'exposition.
- Cémoi ajouté au portail dark web de Qilin le 13 juillet 2026
- Documents internes, commerciaux et financiers potentiellement exposés
- Aucun échantillon publié sur les 3 victimes ajoutées le même jour
- Qilin opère sous modèle RaaS avec double extorsion (chiffrement + menace de fuite)
- L'agroalimentaire français cible récurrente Lactalis, Laurent-Perrier, JBS Foods (11 M$ de rançon), Jean Floc'h, Dalloyau
Le chocolatier français Cémoi figure depuis le 13 juillet 2026 sur le portail dark web du groupe de ransomware Qilin - selon la plateforme Ransomware.live. La revendication a été détectée le 14 juillet à 00:00:59 UTC+3. Qilin a ajouté 3 victimes ce jour-là, dont le colombien BUSSCAR et le polonais JAKUB Group.
Cette simultanéité interroge. L’horodatage précis, 14 juillet 00:00:59 UTC+3, et l’ajout de trois cibles le même jour suggèrent une campagne coordonnée sans lien apparent entre les secteurs. Ransomware.live, qui surveille les sites de fuite, a capté cette entrée, mais ne donne aucune indication sur la date d’intrusion initiale chez Cémoi. Les deux autres victimes, BUSSCAR (transport colombien) et JAKUB Group (logistique polonaise), n’ont, comme Cémoi, fait l’objet d’aucune publication d’échantillon à ce jour.
Selon la revendication, des documents internes, commerciaux et financiers de Cémoi sont potentiellement exposés. Aucun échantillon n’a été publié publiquement à la date du 14 juillet. Cette absence de publication immédiate ne constitue pas une bonne nouvelle pour le chocolatier. Bien au contraire, elle correspond à la phase de négociation classique des groupes RaaS: la menace de fuite est maintenue pour forcer le paiement, sans preuve publique qui réduirait l’impact. Qilin applique ainsi une pression maximale sur Cémoi, dont les documents sensibles, prix, contrats fournisseurs, formulations, se retrouvent en ligne de mire sans que l’on sache si un échantillon sera diffusé dans les prochains jours.
Qilin, un acteur RaaS rodé à la double extorsion
Le groupe Qilin utilise un modèle RaaS: il loue son infrastructure à des affiliés qui mènent les intrusions, en échange d’une part du butin. Ces affiliés pénètrent le réseau, exfiltrent les données puis chiffrent les systèmes. Pour Cémoi, cela signifie que les documents internes, commerciaux et financiers ont probablement été copiés avant le déclenchement du ransomware. Le groupe menace désormais de les publier si une rançon n’est pas versée. Ce double levier, rançon de déchiffrement et rançon de non-divulgation, rend la décision particulièrement complexe pour la direction.
Aucune information technique (vecteur d’intrusion, CVE exploitée, durée de présence dans le SI) n’a été communiquée. Cémoi n’a pas publié de communiqué à ce stade.
Payer ou pas: un dilemme sous pression
Face à cette double extorsion, les dirigeants de Cémoi doivent trancher rapidement. Si aucun délai n’a été communiqué publiquement, le mode opératoire de Qilin implique généralement un compte à rebours avant publication. En France, 75 % des entreprises victimes de rançongiciel choisissent de payer - avec un montant moyen de 1,07 million d’euros. Pour une PME du secteur agroalimentaire, le coût moyen d’une attaque atteint 466 000 € - bien au-dessus du budget cyber annuel moyen de 27 000 €. Cémoi, en tant qu’acteur majeur de l’industrie du chocolat - pourrait être confronté à une demande plus élevée, mais aucun montant n’a filtré.
Les PME représentent 48 % des victimes de compromissions par rançongiciel en 2025 - avec un coût moyen d’attaque de 466 000 € face à un budget cybersécurité annuel moyen de 27 000 €. Les fuites de données ont impacté plus de 12 millions de personnes en France en 2025, avec une intention malveillante derrière deux tiers des fuites.
L’agroalimentaire français, cible récurrente
Le secteur agroalimentaire accumule les compromissions depuis 2021. Lactalis et Laurent-Perrier ont été frappés en 2021, tout comme le géant brésilien JBS Foods - qui a versé 11 millions de dollars. En septembre 2021 - le ransomware Conti a touché les bretons Jean Floc’h et le traiteur parisien Dalloyau. Lactalis a de nouveau été victime en 2022 - avec des perturbations. Comme l’attaque Conti contre Jean Floc’h en septembre 2021 - celle-ci cible un acteur de la production alimentaire aux données sensibles. Cependant, Qilin utilise un modèle RaaS plus récent, ce qui pourrait rendre la menace plus systématique et difficile à contrer.
Les incidents peuvent entraîner l’arrêt temporaire des usines ou des impacts sur la chaîne d’approvisionnement et la sécurité alimentaire. Le profil de Cémoi, production industrielle, logistique étendue, données commerciales sensibles (prix, contrats fournisseurs, formulations), en fait une cible à fort levier.
Ce que les sources ne disent pas
Aucune source consultée ne précise le vecteur d’intrusion utilisé par les affiliés de Qilin, ni la durée de présence dans le système d’information de Cémoi. De même, il n’est pas indiqué si Cémoi a reçu une notification ANSSI, si un dépôt de plainte a été effectué, ni si une assurance cyber couvre l’incident. Le montant de la rançon demandée par Qilin reste inconnu. Enfin, aucune source n’indique si des données clients finaux (coordonnées, historique d’achat) sont concernées, ou seulement des documents B2B.