Des avatars prenant la forme de groupes d’hacktivistes, sans lien avec l’Etat iranien, sont de plus en plus utilisés pour incarner les opérations offensives de l’Etat iranien.
Depuis 2022, les attaques informatiques iraniennes visent les secteurs de l’énergie, des télécommunications et du transport maritime.
Le retour des ultra conservateurs au pouvoir en Iran laisse présager une cybermenace iranienne grandissante.

L’équipe TDR – Threat Detection & Response - de Sekoia.io a réalisé sur plusieurs mois une recherche sur la menace iranienne. Elle publie ce lundi le bilan de cette recherche, accompagné d’une étude de l’organisation des groupes d’attaquants iraniens.

En voici le résumé ci-dessous– n’hésitez pas à nous faire signe si vous souhaitez un entretien avec un expert de l’équipe TDR de Sekoia.io.

• La lutte informatique offensive (LIO) iranienne vise trois orientations stratégiques : le contrôle de stabilité interne du pays et le maintien du régime, la protection du territoire national, ainsi que la promotion de l’influence extérieure de Téhéran. La LIO est opérée par deux organes, le Corps des Gardiens de la Révolution (CGR) et le Ministère du Renseignement (MR), deux structures rivales dont les mandats se chevauchent.
• Ces objectifs stratégiques sont mis en œuvre dans des opérations destructives, d’espionnage stratégique, de surveillance domestique, d’opérations informationnelles ainsi que, dans une moindre mesure, des opérations à but lucratif.
• La LIO iranienne inclut la participation d’entreprises privées, et parfois de groupes de recherche universitaires, employés par les services iraniens (CGR et MR) pour conduire des opérations offensives, qu’elles soient destructives, d’espionnage ou informationnelles. L’activité de ces entreprises, mais également le probable transfert de ressources humaines et de connaissance entre ces entités privées et les structures gouvernementales, complique la compréhension de l’organisation de la LIO iranienne.
• Depuis 2022, Sekoia.io observe une tendance à l’augmentation du recours à des avatars utilisés pour revendiquer des opérations informationnelles ayant pour objectif de déstabiliser les adversaires géopolitiques de Téhéran, ou de promouvoir une posture de défenseur de la religion islamique. Ces avatars prennent souvent la forme d’un groupe revendiqué comme hacktiviste, sans lien avec l’État iranien, probablement dans un objectif de nier la responsabilité de l’attaque.
• Les secteurs les plus impactés par des attaques informatiques iraniennes sont l’énergie, les télécommunications, en particulier les opérateurs internet des pays du Moyen-Orient cibles du Ministère du Renseignement, ainsi que le transport maritime, un secteur qui intéresse singulièrement le Corps des Gardiens de la Révolution dont un des mandats est le contrôle du détroit stratégique d’Ormuz.
• Les modes opératoires employés par la LIO iranienne ne cessent de se perfectionner, améliorant leurs compétences techniques et leur réactivité opérationnelle à exploiter des vulnérabilités tout juste exposées.
• Sekoia.io estime que la cybermenace iranienne va continuer de grandir, notamment dans un contexte de tensions géopolitiques grandissantes entre Téhéran et les pays occidentaux dû au retour des ultra conservateurs au pouvoir. Cette menace va également continuer d’impacter les pays de l’environnement immédiat d’Iran, en particulier les Etats du Golfe dont l’Arabie Saoudite, et ce malgré le rétablissement des relations diplomatiques entre Riyad et Téhéran.