Les pirates informatiques liés à l’Iran ont intensifié leurs attaques dans la région depuis le début des frappes des États-Unis et d’Israël contre ce pays le week-end dernier, ont affirmé des experts à l’AFP, même si les perturbations causées par la guerre pourraient limiter leur efficacité.
Parmi les actions détectées depuis le début du conflit, l’entreprise de renseignement informatique Unit 42 et le spécialiste israélien de cybersécurité Check Point ont relevé une tentative massive d’hameçonnage («phishing») ayant visé les Israéliens, qu’ils attribuent à l’Iran.
Les attaquants ont notamment profité de bogues de l’application Home Front Command («Commandement du Front intérieur», NDLR), très utilisée, car elle fournit des alertes et des informations d’urgence, pour envoyer en masse des SMS aux utilisateurs afin de les inciter à télécharger une mise à jour.
«C’est le genre de message qui semble tout à fait normal», mais qui renvoie vers «une application imitant le Home Front Command», a expliqué à l’AFP Gil Messing, responsable du renseignement cyber chez Check Point.
«Il s’agissait en réalité d’un logiciel malveillant permettant d’extraire de nombreuses informations de l’appareil», a-t-il souligné, ajoutant qu’une attaque similaire avait ciblé dans le passé des personnes attendant la livraison d’un colis.
Cyberattaques multiples
Check Point affirme également avoir observé des pirates accéder à des caméras de surveillance connectées, très utilisées, mais souvent mal sécurisées, situées en Israël, mais aussi au Qatar, à Bahreïn ou encore au Koweït : tous des États ciblés par les drones et les missiles iraniens.
Ces images étaient probablement utilisées pour évaluer les dégâts causés par ces attaques ou «pour recueillir les renseignements nécessaires» sur «les habitudes (des personnes visées) ou les endroits à frapper», estime Gil Messing.
Selon cet expert, «l’Iran fait partie des cinq à sept premiers pays du monde en matière d’offensive cyber», aux côtés de la Russie, de la Chine ou de la Corée du Nord.
Les pirates informatiques «font partie de leur armée» et «sont en grande partie soutenus par l’État», notamment le Corps des Gardiens de la Révolution (CGRI) et le ministère du Renseignement et de la sécurité, a-t-il assuré.
Parmi les principaux axes de l’activité cyberiranienne : des attaques destinées à extraire des informations, des campagnes de désinformation sur les réseaux sociaux, le recrutement d’agents dans les pays cibles et le harcèlement d’Iraniens en exil.
Face aux drones et aux missiles, «il ne faut pas surestimer le rôle du cyber», affirme James Sullivan, un analyste spécialisé en sécurité informatique du centre de réflexion Rusi à Londres, car «il est plus facile de bombarder une tour de télévision que de mener une cyberattaque contre une chaîne de télévision».
Les frappes américaines et israéliennes ont également entraîné «une perte de connectivité et une dégradation significative des structures de commandement iraniennes», ce qui entrave les activités des pirates, écrit Unit 42 dans un rapport.
«État d’alerte maximal»
L’entreprise américaine de cybersécurité CrowdStrike a constaté «des cyberattaques de représailles modérées liées au CGRI» depuis le début de la guerre, a dit son responsable du renseignement Adam Meyers.
Mais relève «une recrudescence des activités revendiquées par des groupes de pirates militants alignés sur l’Iran ou de sympathisants de ce pays».
Les groupes liés à l’Iran suivis par Unit 42 ont revendiqué cette semaine des attaques contre des cibles dans les secteurs de la santé, de la banque, des infrastructures pétrolières et un aéroport dans des pays tels que la Jordanie, l’Arabie saoudite, les Émirats arabes unis et le Koweït.
Selon CrowdStrike, un groupe russe connu sous le nom de Z-Pentest a également déclaré avoir accédé à des systèmes d’automatisation d’usines et à des réseaux de vidéosurveillance aux États-Unis.
«Les organisations occidentales doivent rester en état d’alerte maximal», prévient M. Meyers, car «ces activités pourraient dépasser le cadre du ‘’hacktivisme’’ et se transformer en opérations destructrices».
De son côté, l’agence française de la sécurité informatique (Anssi) a informé mercredi qu’elle n’avait pas observé pour le moment de hausse de la menace cyber contre la France, mais avait fait état d’une «vigilance renforcée».