Opérations cyber iraniennes : menace sur les démocraties et infrastructures critiques
Lysandre Beauchêne
Opérations cyber iraniennes : menace sur les démocraties et infrastructures critiques
Le département d’État américain vient d’offrir une récompense de 10 millions de dollars pour toute information menant à l’identification ou à la localisation de deux cyber-opérateurs iraniens. Ces individus, Fatemeh Sedighian Kashi et Mohammad Bagher Shirinkar, coordonnent des opérations cyber sophistiquées ciblant les élections, les infrastructures critiques et les entreprises à travers le cyber-unité de la Garde révolutionnaire iranienne connue sous le nom de Shahid Shushtari. Cette annonce marque la dernière initiative visant à perturber les activités de ces cyber-opérateurs iraniens, qui ont causé des dommages financiers et des perturbations opérationnelles significatifs dans de multiples secteurs à travers les États-Unis, l’Europe et le Moyen-Orient.
Qui sont ces cyber-opérateurs iraniens ?
Le groupe Shahid Shushtari, dirigé par Mohammad Bagher Shirinkar, opère sous plusieurs identités et noms de couverture pour dissimuler ses activités. Ces cyber-opérateurs iraniens sont particulièrement actifs dans la planification et l’exécution d’opérations cyber sophistiquées qui menacent non seulement la sécurité nationale mais aussi la stabilité démocratique internationale.
Le groupe Shahid Shushtari et ses identités multiples
Shirinkar supervise le groupe Shahid Shushtari, précédemment identifié sous plusieurs noms de couverture dont Aria Sepehr Ayandehsazan, Emennet Pasargad, Eeleyanet Gostar, et Net Peygard Samavat Company. Cette multiplicité d’identités permet au groupe de maintenir une opacité opérationnelle tout en étendant son influence et ses capacités d’attaque à travers différentes plateformes et secteurs.
« La capacité d’un groupe cyber à opérer sous de multiples identités représente l’un des défis les plus complexes pour les services de sécurité mondiale. »
Ces cyber-opérateurs iraniens ont développé une expertise dans la création d’infrastructures fictives et l’utilisation de techniques avancées pour dissimuler leurs origines et leurs intentions, rendant leur traçage et leur neutralisation particulièrement difficiles pour les agences de sécurité internationales.
Les acteurs clés : Shirinkar et Sedighian Kashi
Mohammad Bagher Shirinkar agit comme le coordinateur principal des opérations, tandis que Fatemeh Sedighian Kashi sert comme employée de longue date travaillant en étroite collaboration avec Shirinkar dans la planification et la conduite des opérations cyber au nom du Commandement cyber-électronique des Gardes de la Révolution islamique (IRGC). Cette relation de travail étroite entre ces deux individus constitue le moteur des activités les plus sophistiquées du groupe Shahid Shushtari.
Dans la pratique, nous observons que ces cyber-opérateurs iraniens adoptent une structure organisationnelle flexible qui leur permet de s’adapter rapidement aux menaces de contre-offensive tout en maintenant une efficacité opérationnelle élevée. Leur capacité à opérer à l’échelle internationale, avec des cibles aussi diverses que les systèmes électoraux américains ou les infractions olympiques en France, témoigne d’une coordination et de ressources appréciables.
Les cibles des opérations cyber iraniennes
Les cyber-opérateurs iraniens du groupe Shahid Shushtari ont démontré une capacité frappante à identifier et à exploiter les vulnérabilités dans des secteurs critiques à travers le monde. Leurs campagnes ne se limitent pas aux attaques directes, mais incluent également des opérations de désinformation et de manipulation psychologique conçues pour maximiser l’impact et la panique.
Ingérence électorale aux États-Unis
En août 2020, les acteurs de Shahid Shushtari ont lancé une campagne multidimensionnelle ciblant l’élection présidentielle américaine, combinant des activités d’intrusion informatique avec des affirmations exagérées d’accès aux réseaux victimes pour amplifier les effets psychologiques. Le département du Trésor américain a désigné Shahid Shushtari et six de ses employés le 18 novembre 2021, en vertu de l’ordre exécutif 13848, pour tentative d’influence sur l’élection de 2020.
Selon les rapports officiels, ces opérations d’ingérence électorale représentent une menace directe pour les processus démocratiques et la souveraineté nationale. Les cyber-opérateurs iraniens utilisent des techniques de social engineering et des campagnes de désinformation pour saper la confiance du public dans les institutions démocratiques.
Les conséquences de telles ingérences dépassent le cadre électoral, créant un climat de méfiance durable qui affecte la cohésion sociale et la stabilité politique. Les États-Unis ne sont pas les seules victimes de ces tactiques, qui ont été observées dans plusieurs pays démocratiques ces dernières années.
Attaques contre les infrastructures critiques
Depuis 2023, Shahid Shushtari a établi des revendeurs d’hébergement fictifs nommés “Server-Speed” et “VPS-Agent” pour fournir une infrastructure opérationnelle tout en offrant une plausible déniabilité. Ces revendeurs ont acquis des espaces serveur auprès de fournisseurs basés en Europe, notamment BAcloud en Lituanie et Stark Industries Solutions au Royaume-Uni.
En juillet 2024, les acteurs ont utilisé l’infrastructure VPS-Agent pour compromettre un fournisseur commercial français d’affichages dynamiques, tentant d’afficher des photomontages dénonçant la participation d’athlètes israéliens aux Jeux olympiques de 2024. Cette cyberattaque était couplée à une désinformation comprenant de faux articles de presse et des messages de menace adressés aux athlètes israéliens sous l’étendard d’un groupe d’extrême droite français fictif.
« La protection des infrastructures critiques contre les menaces cyber étatiques représente l’un des défis de sécurité les plus complexes de notre époque. »
Après l’attaque du 7 octobre 2023 perpétrée par Hamas, Shahid Shushtari a utilisé des identités de couverture dont “Contact-HSTG” pour contacter les familles d’otages israéliens, tentant d’infliger un traumatisme psychologique. Le groupe a également entrepris des efforts significatifs pour recenser et obtenir du contenu provenant de caméras IP en Israël, rendant les images disponibles via plusieurs serveurs.
Opérations psychologiques et manipulation de l’information
Les cyber-opérateurs iraniens ne se contentent pas des attaques techniques directs ; ils développent des campagnes de manipulation de l’information sophistiquées conçues pour influencer l’opinion publique et saper la confiance dans les institutions démocratiques. Ces opérations psychologiques, souvent couplées à des cyberattaques, représentent une menace particulièrement insidieuse pour la stabilité sociale et politique.
En pratique, nous observons que ces campagnes combinent des éléments techniques et psychologiques pour maximiser leur impact. L’utilisation d’identités fictives et de groupes de hacktivistes d’apparence disparate permet aux opérateurs iraniens de créer une impression de diversité d’opinions et de mouvements spontanés, alors qu’ils sont en réalité orchestrés depuis un centre de commandement unique.
Les méthodes émergentes de la cyber-guerre iranienne
Les cyber-opérateurs iraniens ont démontré une capacité remarquable à adopter et à intégrer les technologies émergentes dans leurs opérations offensives. L’utilisation de l’intelligence artificielle, le développement d’infrastructures de hosting fictives et l’exécution de campagnes de hack-and-leak représentent les trois piliers de leur stratégie offensive contemporaine.
Utilisation de l’intelligence artificielle
Shahid Shushtari a intégré l’intelligence artificielle à ses opérations, notamment des présentateurs d’information générés par IA dans l’opération “For-Humanity” qui a affecté une société américaine de streaming Internet Protocol Television en décembre 2023. Le groupe exploite des services d’IA dont Remini AI Photo Enhancer, Voicemod, Murf AI pour la modulation vocale, et Appy Pie pour la génération d’images, selon un communiqué conjoint d’octobre des agences américaines et israéliennes.
L’intégration de l’IA dans les opérations cyber représente un tournant majeur dans la capacité des acteurs étatiques à lancer des campagnes de désinformation et de manipulation à grande échelle. Ces technologies permettent de créer du contenu persuasif à moindre coût et avec une rapidité sans précédent, augmentant considérablement l’impact potentiel des opérations de influence operations.
Depuis avril 2024, le groupe utilise la personnalité en ligne “Cyber Court” pour promouvoir les activités de groupes de hacktivistes de couverture dont “Makhlab al-Nasr”, “NET Hunter”, “Emirate Students Movement”, et “Zeus is Talking”, menant des activités malveillantes protestant contre le conflit Israël-Hamas.
Infrastructure de hosting fictive
Comme mentionné précédemment, la création d’entités fictives comme “Server-Speed” et “VPS-Agent” représente une stratégie clé pour les cyber-opérateurs iraniens. Ces entités leur permettent de:
- Acquérir légalement des ressources d’infrastructure
- Créer une distance entre les opérations et les acteurs
- Établir des points d’attaque dispersés géographiquement
- Faciliter le renouvellement des ressources après compromission
Cette approche témoigne d’une compréhension sophistiquée des mécanismes d’internet et des vulnérabilités des chaînes d’approvisionnement en technologie. Les cyber-opérateurs iraniens ne se contentent pas d’exploiter les vulnérabilités des systèmes cibles ; ils exploitent également les faiblesses des écosystèmes technologiques qui soutiennent ces systèmes.
Campagnes de hack-and-leak
Les campagnes de hack-and-leak représentent l’une des méthodes les plus destructrices employées par les cyber-opérateurs iraniens. Ces opérations combinent l’intrusion technique dans les systèmes avec la diffusion sélective d’informations volées pour maximiser l’impact politique et réputationnel.
Selon les évaluations du FBI, ces opérations de hack-and-leak sont destinées à saper la confiance du public dans la sécurité des réseaux victimes, à embarrasser les entreprises et les pays ciblés par des pertes financières et des dommages à la réputation. L’objectif final n’est pas seulement d’infliger des dommages directs, mais de créer un climat d’insécurité permanente qui paralyse la prise de décision et affaiblit les institutions démocratiques.
Conséquences et menaces pour la sécurité mondiale
L’activité persistante des cyber-opérateurs iraniens représente une menace multidimensionnelle pour la sécurité mondiale. Les conséquences de leurs actions se manifestent à plusieurs niveaux, allant des impacts économiques directs aux menaces plus insidieuses pour la stabilité politique et sociale.
Impact économique et réputationnel
Les opérations des cyber-opérateurs iraniens ont causé des dommages financiers et des perturbations opérationnelles significatifs dans de multiples secteurs, notamment les médias, le transport, les voyages, l’énergie, les services financiers et les télécommunications. Selon les estimations des agences de sécurité, les pertes directes liées aux activités de Shahid Shushtari dépassent plusieurs dizaines de millions de dollars, sans compter les coûts indirects liés à la remédiation et à la renforcement des défenses.
Le tableau suivant présente l’impact sectoriel estimé des opérations des cyber-opérateurs iraniens :
| Secteur | Impact principal | Pertes estimées |
|---|---|---|
| Services financiers | Vol de données financières, fraude | 25-40 M$ |
| Énergie | Sabotage d’infrastructures, espionnage industriel | 15-30 M$ |
| Médias | Désinformation, piratage de comptes | 10-20 M$ |
| Télécommunications | Interception de communications, déni de service | 8-15 M$ |
| Transport | Perturbation des systèmes de réservation, sabotage | 12-25 M$ |
Les dommages réputationnels sont encore plus difficiles à quantifier mais tout aussi significatifs. Les entreprises et les institutions publiques victimes de ces attaques subissent souvent une perte de confiance durable de la part de leurs clients et citoyens, avec des conséquences à long terme sur leur légitimité et leur efficacité.
Risques pour les démocraties et les institutions
Les campagnes d’ingérence électorale et de désmination orchestrées par les cyber-opérateurs iraniens représentent une menace directe pour les processus démocratiques. En sapant la confiance dans les élections et en diffusant des informations trompeuses à grande échelle, ces opérations affaiblissent le contrat social fondamental qui sous-tend les démocraties représentatives.
Dans la pratique, nous observons que ces attaques créent un cercle vicieux où la méfiance envers les institutions démocratiques encourage la polarisation politique, ce qui à son tour facilite davantage d’ingérence et de désinformation. Ce phénomène, observé dans plusieurs pays démocratiques ces dernières années, constitue l’un des défis les plus graves pour la gouvernance mondiale au XXIe siècle.
« La cybersécurité n’est plus seulement une question technique, mais un pilier fondamental de la sécurité nationale et de la résilience démocratique. »
La menace ne se limite pas aux démocraties occidentales ; les cyber-opérateurs iraniens ont démontré une capacité à cibler des institutions internationales et des organisations multilatérales, cherchant à saper la coopération internationale et à affaiblir les mécanismes de gouvernance mondiale.
La réponse internationale
Face à cette menace croissante, la communauté internationale a développé des stratégies de réponse multiformes. L’annonce récente de récompenses de 10 millions de dollars par le département d’État américain représente l’un des aspects les plus visibles de cette réponse, mais elle s’inscrit dans un effort plus large impliquant des sanctions économiques, des coopérations judiciaires et des initiatives de renforcement des capacités.
Les agences de sécurité du monde entier ont intensifié leur collaboration pour suivre, attribuer et contrer les activités des cyber-opérateurs iraniens. Cette coopération, bien que complexe dans un contexte géopolitique tendu, a démontré son efficacité dans la prévention d’attaques majeures et dans l’identification des responsables.
En pratique, la réponse internationale combine des mesures défensives, comme le renforcement des systèmes de détection et de réponse aux cyberattaques, avec des mesures offensives ciblées visant à démanteler les infrastructures utilisées par ces groupes. L’équilibre délicat entre ces approches défensives et offensives reste l’un des principaux défis pour les stratèges de sécurité mondiale.
Se protéger contre les menaces cyber étatiques
Face à une menace aussi sophistiquée et bien financée que celle représentée par les cyber-opérateurs iraniens, les organisations et les gouvernements doivent adopter une approche multidimensionnelle de la cybersécurité. La protection efficace ne repose pas sur une seule solution technologique, mais sur une stratégie holistique intégrant des techniques, des processus et des formations adaptés.
Mesures de défense pour les entreprises
Les organisations, particulièrement celles opérant dans les secteurs critiques, doivent mettre en place des mesures de défense robustes pour se protéger contre les menaces avancées persistantes (APT) orchestrées par des acteurs étatiques. Ces mesures incluent:
- Évaluation des risques approfondie : Identifier les actifs les plus critiques et les vulnérabilités spécifiques qui pourraient être exploitées par des cyber-opérateurs iraniens ou autres acteurs étatiques.
- Défense en profondeur : Implémenter plusieurs couches de sécurité pour que la compromission d’une couche ne mène pas nécessairement à la compromission du système entier.
- Surveillance avancée : Déployer des systèmes de détection d’intrusion capables d’identifier les activités anormales subtiles caractéristiques des APT.
- Plan de réponse aux incidents : Préparer et régulièrement tester des procédures pour détecter, contenir et éliminer rapidement les intrusions.
- Formation du personnel : Sensibiliser les employés aux techniques de social engineering et autres vecteurs d’attaque couramment utilisés par les acteurs étatiques.
Dans la pratique, nous observons que les organisations qui adoptent une approche proactive et continue de la cybersécurité sont mieux préparées pour faire face aux menaces émergentes. La cybersécurité n’est pas un projet ponctuel, mais un processus continu d’évaluation, de mise en œuvre et d’amélioration.
Vigilance électorale et résilience démocratique
Pour faire face aux ingérences électorales orchestrées par des cyber-opérateurs iraniens et autres acteurs malveillants, les démocraties doivent renforcer leurs processus électoraux et leur résilience informationnelle. Cela inclut:
- Sécurisation des systèmes électoraux : Mettre en place des mesures de sécurité robustes pour protéger les systèmes de vote, les bases d’électeurs et les infrastructures associées.
- Surveillance des campagnes de désinformation : Déployer des capacités de détection et de réponse rapide aux campagnes de désinformation ciblant les processus électoraux.
- Éducation des citoyens : Développer des programmes d’éducation aux médias et à l’information pour aider les citoyens à distinguer le contenu authentique de la désinformation.
- Transparence des processus : Maintenir un haut niveau de transparence dans les processus électoraux pour renforcer la confiance du public et contrer les tentatives de délégitimation.
- Collaboration internationale : Partager les informations et les meilleures pratiques pour contrer les ingérences électorales à l’échelle mondiale.
Ces mesures, combinées à une réponse politique ferme mais mesurée aux tentatives d’ingérence, peuvent aider à préserver l’intégrité des processus démocratiques face à des menaces cyber sophistiquées.
Collaborations internationales en cybersécurité
La nature transnationale des menaces cyber exige une réponse internationale coordonnée. Les collaborations entre agences de sécurité, organisations internationales et secteur privé sont essentielles pour contrer efficacement les activités des cyber-opérateurs iraniens et autres acteurs étatiques malveillants.
Ces collaborations peuvent prendre plusieurs formes :
- Partage d’informations de menace : Échanger des renseignements sur les tactiques, techniques et procédures (TTP) utilisées par les acteurs étatiques malveillants.
- Exercices conjoints : Organiser des simulations d’attaques pour tester et améliorer les capacités de réponse collective aux cybercrises.
- Harmonisation des cadres juridiques : Développer des approches juridiques communes pour faciliter les poursuites contre les cybercriminels transnationaux.
- Renforcement des capacités : Aider les pays aux ressources limitées à développer leurs capacités de cybersécurité pour résister aux menaces avancées.
- Dialogue politique : Établir des canaux de communication directs entre les responsables de la cybersécurité des différents pays pour gérer les crises et prévenir les escalades.
« La cybersécurité est l’un des domaines où la coopération internationale n’est pas seulement souhaitable, mais absolument nécessaire pour garantir la stabilité mondiale. »
Face à une menace évolutive comme celle représentée par les cyber-opérateurs iraniens, ces collaborations internationales représentent notre meilleure défense collective. La complexité croissante des opérations cyber étatiques rend de plus en plus difficile une réponse efficace au niveau national seul, rendant la coopération internationale non seulement souhaitable mais essentielle.
Conclusion
Les cyber-opérateurs iraniens, représentés par le groupe Shahid Shushtari et ses dirigeants Shirinkar et Sedighian Kashi, incarnent l’évolution de la menace cyber étatique vers des opérations plus sophistiquées, mieux coordonnées et plus destructrices. Leur capacité à cibler simultanément les processus démocratiques, les infrastructures critiques et le tissu social à travers des techniques allant de l’ingérence électorale à l’utilisation de l’intelligence artificielle représente un défi majeur pour la sécurité mondiale.
La réponse internationale, symbolisée par la récompense de 10 millions de dollars offerte par le département d’État américain, doit s’intensifier et se diversifier pour contrer efficacement cette menace. Les organisations et les gouvernements doivent adopter des approches proactives et holistiques de la cybersécurité, combinant défense technique, résilience institutionnelle et coopération internationale.
Alors que la frontière entre la guerre conventionnelle et la guerre cyber continue de s’estomper, la protection contre les cyber-opérateurs iraniens et autres acteurs étatiques malveillants n’est plus seulement une question technique, mais un impératif stratégique pour la sécurité nationale, la stabilité démocratique et la cohésion sociale. Seule une réponse coordonnée et résiliente permettra de préserver la souveraineté numérique dans un monde de plus en plus interconnecté et vulnérable aux menaces cyber avancées.