Le climat de tension entre Washington et Téhéran franchit une nouvelle étape critique dans le cyberespace. À la suite des frappes aériennes américaines ayant visé trois sites nucléaires iraniens, Fordow, Natanz et Ispahan, le Département de la Sécurité intérieure (DHS) a émis, dimanche, une alerte nationale mettant en garde contre une recrudescence attendue d’attaques informatiques menées par des groupes affiliés à l’Iran.

Selon le bulletin du National Terrorism Advisory System, des « cyberattaques de faible intensité » visant des réseaux américains seraient imminentes. Ces actions pourraient être menées par des hacktivistes pro-iraniens ou des entités directement liées aux services de cyberdéfense iraniens. Déjà, dimanche, un groupe revendiquait une attaque par déni de service ayant brièvement mis hors ligne Truth Social, la plateforme de Donald Trump.

Historiquement, l’Iran a régulièrement ciblé les infrastructures critiques américaines, notamment dans les domaines de l’eau, de la santé, de l’aéronautique et de l’énergie. En 2023, des pirates affiliés au Corps des Gardiens de la Révolution islamique avaient réussi à infiltrer des systèmes de traitement des eaux. L’année suivante, ils auraient dérobé des documents confidentiels liés à la campagne présidentielle de Trump.

Au-delà du sabotage numérique, la menace s’étend aussi à la désinformation. L’an dernier, OpenAI avait révélé l’existence de fausses plateformes médiatiques pilotées depuis l’Iran, conçues pour manipuler l’opinion publique américaine. Des campagnes plus récentes incluent des vidéos truquées et des usurpations d’identité sur les réseaux sociaux, visant notamment des communautés israéliennes.

Les agences fédérales américaines ont d’ores et déjà intensifié leurs efforts de coordination avec les secteurs privés les plus exposés, notamment l’énergie, les télécommunications et les transports. Des briefings confidentiels ont été organisés avec les responsables de la cybersécurité des grandes entreprises stratégiques pour revoir les protocoles d’alerte, les plans de résilience et les stratégies de récupération après incident. L’Agence pour la cybersécurité et la sécurité des infrastructures (CISA) insiste sur la mise à jour urgente des systèmes et la surveillance accrue des connexions suspectes.

Par ailleurs, plusieurs centres d’échange d’informations sectoriels, notamment dans l’agroalimentaire et les technologies de l’information, ont lancé des alertes internes à leurs membres, évoquant un risque élevé d’attaques par rançongiciel ou de vol de données sensibles. Ces mises en garde incluent des techniques précises attribuées à des groupes iraniens comme APT35 (Charming Kitten) et APT39, qui exploitent régulièrement des vulnérabilités connues dans les services de messagerie et les environnements infonuagiques comme Microsoft 365 et Citrix.

Sur les plateformes de discussion en ligne, plusieurs groupes pro-iraniens, dont DieNet et Mr. Hamza, multiplient déjà les messages revendiquant des intrusions dans des systèmes liés à la défense américaine. Bien que certaines de ces déclarations restent non vérifiées, les analystes y voient une stratégie délibérée d’intimidation numérique visant à semer l’incertitude dans les rangs adverses. Cette guerre de communication s’appuie aussi sur des campagnes de désinformation coordonnées, souvent relayées sur Telegram et des forums obscurs.

Des chercheurs en cybersécurité notent également une montée en puissance de ce qu’ils qualifient de « hacktivisme structuré » : des cybergroupes qui, tout en se présentant comme indépendants, bénéficieraient d’un soutien logistique ou technologique étatique. Ces entités combinent techniques de piratage classiques, ingénierie sociale avancée et outils d’IA générative pour mener des opérations de plus en plus sophistiquées, notamment le vol d’identifiants, la manipulation d’images ou encore la diffusion de faux communiqués gouvernementaux.

Le secteur des infrastructures critiques américaines reste particulièrement vulnérable en raison d’un parc informatique vieillissant et d’un manque de personnel qualifié dans plusieurs États. Certaines installations, comme des barrages ou des usines de traitement des eaux, utilisent encore des logiciels non mis à jour ou exposés à Internet sans protection adéquate. Face à cela, plusieurs voix s’élèvent à Washington pour accélérer les investissements dans la cybersécurité, via le Cybersecurity Grant Program du DHS et des partenariats public-privé renforcés.

Le DHS alerte également sur les risques physiques, évoquant la possibilité de violences motivées par des appels à la vengeance, notamment contre des cibles perçues comme juives, pro-israéliennes ou liées au gouvernement américain. Plusieurs gouverneurs, dont ceux du Missouri et de l’Arizona, ont été brièvement informés du niveau élevé de la menace.

Enfin, sur le terrain diplomatique, les frappes américaines ont accentué les tensions avec d’autres puissances. La Russie et la Chine ont vivement condamné l’intervention à l’ONU, tandis que les experts redoutent une coopération renforcée entre Téhéran et Moscou dans le domaine cyber. Ce rapprochement pourrait se traduire par un partage de techniques offensives, voire une montée en puissance conjointe des opérations hybrides ciblant les démocraties occidentales.

John Hultquist, analyste en chef au sein de Google Threat Intelligence Group, souligne que l’Iran recourt souvent à la guerre psychologique pour amplifier l’effet de ses cyberattaques, parfois en exagérant les dommages causés. Il rappelle toutefois que les entreprises et les institutions ciblées peuvent subir des conséquences bien réelles et appelle à renforcer les mesures de protection similaires à celles mises en place contre les rançongiciels.

Source : Nextgov, Cybersecurity dive, Infosecurity Magazine, Politico,

+++

Tous les jours de la semaine, du lundi au vendredi, Bruno Guglielminetti vous propose un regard sur l’essentiel de l’actualité numérique avec 120 secondes de tech.