Selon un extrait d’actualité de Tages-Anzeiger publié le 8 novembre 2025, la banque Habib Bank Zurich a été victime d’un cyberattaque attribuée au groupe de hackers russe Qilin.
🚨 Type d’incident: cyberattaque avec vol/exfiltration de données.
🏦 Cyberattaque contre la Habib Bank Zürich — le groupe russe Qilin revendique le vol de 2,5 To de données
Date : 8 novembre 2025
Source : Tages-Anzeiger / Cybernews
Auteur : Anna Luna Frauchiger
La Habib Bank, dont le siège est à Zurich, a confirmé avoir été victime d’une attaque informatique majeure menée par le groupe russe Qilin, spécialisé dans les campagnes de ransomware.
Selon les informations publiées sur le Darknet par les assaillants, 2,5 téraoctets de données, soit près de 2 millions de fichiers, auraient été volés — incluant des données clients sensibles telles que des numéros de passeports, soldes de comptes et même des codes sources internes.
⚠️ Détails de la compromission
- Origine de l’attaque : groupe de ransomware Qilin (anciennement Agenda), actif depuis 2022.
- Données exfiltrées : 2,5 To, contenant :
- Informations clients (noms, adresses, numéros de passeport, soldes bancaires)
- Codes sources et outils internes de la banque
- Documents d’exploitation et fichiers financiers internes
- Canal de revendication : publication sur un forum du Darknet accompagnée de captures d’écran.
- Motivation probable : chantage financier / extorsion.
🏛️ Réponse officielle de la Habib Bank
La banque a confirmé dans un communiqué que des acteurs non autorisés avaient accédé à son réseau interne, tout en précisant :
“Nos services bancaires restent pleinement opérationnels et accessibles à nos clients.”
Une cellule d’investigation interne et des experts en cybersécurité travaillent à évaluer l’étendue du vol de données et à limiter les dommages.
🔍 TTPs observées (Techniques, Tactiques et Procédures)
| Phase MITRE ATT&CK | Technique probable | Description |
|---|---|---|
| Initial Access | Compromission de compte / phishing ciblé | Accès initial probable via identifiants internes ou VPN |
| Execution | Déploiement de malware ou script automatisé | Exécution d’un agent de collecte sur serveurs internes |
| Collection | Exfiltration de fichiers et bases de données | Extraction massive de 2,5 To de données clients et outils |
| Exfiltration | Upload vers infrastructure Darknet | Données transférées vers serveurs hors du périmètre |
| Impact | Menace de diffusion publique / extorsion | Publication partielle de preuves sur le Darknet |
🧠 IoCs (Indicateurs de compromission connus)
| Type | Indicateur | Source |
|---|---|---|
| Groupe | Qilin (ex-Agenda) | Lié à des attaques contre VW France et Asahi Japon (Blick, 2025) |
| Fichiers divulgués | Captures d’écran montrant données clients et codes internes | Cybernews |
| Volume exfiltré | 2,5 To (~2 millions de fichiers) | Tages-Anzeiger |
| Infrastructure | Publication sur site de fuite Darknet contrôlé par Qilin | Observé par Cybernews |
🛡️ Recommandations de sécurité
- Surveiller les fuites potentielles sur les forums Qilin / Agenda.
- Notifier les clients susceptibles d’être affectés et renforcer la vérification d’identité pour toute opération bancaire.
- Changer immédiatement les mots de passe et certificats liés aux systèmes exposés.
- Effectuer un audit complet des connexions VPN et des journaux d’accès internes.
- Collaborer avec MELANI / NCSC Suisse pour signaler la compromission.
📌 Contexte
Fondée en 1967 à Zurich par Mohamedali Habib, la Habib Bank emploie environ 8 000 personnes et dispose de filiales aux Émirats arabes unis, au Royaume-Uni, à Hong Kong, au Pakistan, au Canada et en Afrique du Sud.
Le groupe Qilin, réputé pour ses attaques de ransomware à but lucratif, a déjà ciblé de grandes entreprises internationales telles que Volkswagen France et le brasseur japonais Asahi.
🧩 Résumé :
L’attaque contre la Habib Bank marque l’un des plus importants vols de données bancaires en Suisse en 2025.
Les assaillants russes de Qilin auraient dérobé 2,5 To d’informations clients, exposant potentiellement des données d’identité et financières.
L’incident illustre la montée en puissance des groupes ransomware transnationaux ciblant le secteur bancaire européen.
Type d’article: article d’actualité rapportant un incident de cybersécurité et son impact principal.