Avec la mort du général iranien Qassem Soleimani, tué vendredi dans un raid ordonné par Donald Trump, faut-t-il s’attendre à une recrudescence des attaques informatiques de l’Iran contre les Etats-Unis ? Vraisemblablement. Plusieurs experts répondent à la question.
D’une certaine manière, une cyber-guerre est déjà en cours entre les États-Unis et l’Iran. De nombreuses attaques ont déjà été attribuées à des groupes iraniens. Parmi les plus récentes, en octobre, Microsoft révélait qu’un groupe de hackers liés au gouvernement iranien avait tenté de pirater entre août et septembre les adresses email d’une équipe de campagne présidentielle américaine, de responsables du gouvernement et de journalistes. En juillet, FireEye estimait que les tensions avec l’Iran généraient de nouvelles campagnes de cyberespionnage, dont celle du groupe iranien APT34. Au début de l’été 2019, des médias américains rapportaient que les Etats-Unis avaient lancé des cyberattaques contre des systèmes de lancement de missiles et un réseau d’espionnage iraniens, deux jours après la destruction par Téhéran d’un drone américain…
“L’Iran a déjà répondu aux attaques américaines en utilisant son savoir-faire en matière de guerre informatique, confirme Ryan Kalember, vice-président exécutif Cybersecurity Strategy de ProofPoint. Dernier exemple en date, le programme Federal Depository Library Program, mis à disposition des citoyens américains pour consulter les publications du gouvernement fédéral américain, a été victime d’une cyberattaque symbolique. Revendiqué par un groupe iranien, le piratage du site internet affichait une image représentant Donald Trump se faisant frapper au visage »,
David Stupples, professeur d’ingénierie électronique à City University of London, expert en cybersécurité et cybercriminalité, rappelle que « depuis les attaques informatiques au virus Stuxnet, attaques organisées probablement par Israël et qui ont sensiblement ralenti le développement du programme d’enrichissement de l’uranium iranien, l’Etat d’Iran a beaucoup investi dans la cyberguerre de l’information. Aujourd’hui, l’Iran est considéré comme étant l’un des acteurs principaux du cyberterrorisme d’État soutenant l’activité terroriste. »
John Hultquist, Director of Intelligence Analysis chez FireEye, remarque qu’avant “l’accord sur le nucléaire iranien, l’Iran a mené de telles attaques contre le secteur financier aux Etats-Unis ainsi que d’autres entreprises et sondé d’autres infrastructures critiques. Depuis l’accord, et malgré l’érosion des relations entre l’Iran et les Etats-Unis, l’Iran a limité de telles attaques au seul Moyen-Orient. A la lumière de ces développements, le pays pourrait changer d’attitude et se résoudre à cibler le secteur privé aux Etats-Unis. »
L’Iran pourrait être aidé dans sa “tâche”, par ” plusieurs autres pays et groupes qui le soutiennent » et qui ont “également développé des cyber-capacités qui pourraient voir le jour à court terme », estime Hardik Modi, AVP Engineering Threat and Mitigation Products chez Netscout. “En supposant que les représailles demeurent un objectif pour le régime, il est raisonnable de s’attendre à ce qu’une cyber-opération soit envisagée, seule ou en association avec une offensive plus vaste », est également convaincu l’expert, qui met en garde contre des “attaques DDoS ou wiper » qui “peuvent avoir des conséquences considérables relativement rapidement, même si leur impact peut aussi être de courte durée ».
Sécurité publique…
David Stupples parle de « cybercibles qui ont un lien avec la sécurité publique ». “Les cibles susceptibles d’être attaquées seraient celles qui sont visibles par l’ensemble de la population. Surtout, des cibles qui susciteraient la peur au sein de la population en exposant la vulnérabilité des États-Unis aux cyberattaques. Cela fragiliserait parallèlement l’autorité du Président et du gouvernement américain. »
Outre “des attaques perturbatrices et destructrices contre des cibles du secteur privé », John Hultquist anticipe, lui, “une hausse des activités d’espionnage, ciblant en premier lieu les systèmes gouvernementaux, les acteurs iraniens s’efforçant d’obtenir des renseignements et de mieux comprendre l’évolution de l’environnement géopolitique. »
“Les conflits s’étendent désormais au-delà du terrain – et une cyberattaque réussie peut avoir un impact réel et durable pour un pays tout entier, prévient Ryan Kalember, évoquant “coupures de réseaux électriques » et “immobilisation des services de renseignement et de sécurité intérieure ».
… et systèmes de contrôle industriel
David Stupples énumère les possibles cibles: “ les usines pétrochimiques, les centrales nucléaires, les transports (maritime et aérien) et les entreprises pharmaceutiques. L’objectif étant clairement d’attaquer les systèmes de contrôle industriel ou de contrôle du trafic aérien afin de rendre les dispositifs de sécurité instables voire dangereux. Par exemple, les systèmes SCADA, qui sont fondamentaux pour l’efficacité opérationnelle et la sécurité de presque toutes les installations industrielles complexes, pourraient devenir facilement une telle cible. Au cœur du SCADA se trouvent le traitement informatique et un système de communication complexe. L’Iran est connu par sa capacité à attaquer les SCADA avec des résultats assez stupéfiants – un exemple étant les attaques contre la compagnie pétrolière ARAMCO il y a deux-trois ans. »
Les systèmes de contrôle industriel sont dans la mire de mire, abonde John Hultquist : “L’Iran a exploité des wiper malwares lors d’attaques destructrices en plusieurs occasions ces dernières années. Bien que, pour la plupart, ces incidents n’aient pas affecté les systèmes de contrôles industriels les plus critiques, ils ont eu pour résultat de perturber sérieusement les opérations. Nous redoutons que des tentatives d’accès de la part d’acteurs iraniens à des fournisseurs de logiciels de systèmes de contrôle industriel puissent être exploitées pour accéder simultanément et à grande échelle à des infrastructures critiques. Dans le passé, s’attaquer à la sous-traitance a été le moyen utilisé par des acteurs russes et nord-coréens pour déployer massivement des malwares destructeurs. »
Nathan Brubaker, Senior Manager Analysis chez FireEye, tempère néanmoins : ” Même si l’Iran a montré quelque intérêt pour les systèmes de contrôle industriel dans des environnements ciblés, il n’a pas jusqu’à présent montré sa capacité ou sa volonté de mener à bien tout type d’attaque ciblant ces systèmes – qui nécessiterait potentiellement des années de préparation. » Il ajoute : ” Concernant la résistance du réseau américain de distribution électrique – il est en fait composé de cinq réseaux distincts (Est, Ouest, Texas, Alaska et Québec), seule une attaque très sophistiquée et à grande échelle pourrait causer des dommages allant au-delà d’une petite coupure. »
L’arme de la désinformation
Un autre expert de chez FireEye, Lee Foster, Senior Manager Information Operations Analysis FireEye Intelligence, met lui l’accent sur la désinformation que mène et va continuer de mener l’Iran.
“L’Iran a volontiers utilisé des opérations de désinformation en ligne pour supporter ses objectifs géopolitiques ces dernières années, et a développé un large éventail de tactiques et de méthodes sophistiquées qu’il continue d’affiner et d’exploiter aujourd’hui. Ces tactiques ont compris la création de larges réseaux de faux sites d’actualités conçus pour amplifier la propagande pro-iranienne à travers le monde et discréditer des rivaux, dont les Etats-Unis ; l’usurpation de personnalités d’influence sur les médias sociaux y compris des candidats aux élections américaines ; la création de fausses identités de journalistes conçues pour solliciter des interviews avec des hommes politiques favorables aux intérêts iraniens ; et la création de réseaux de comptes de médias sociaux usurpant de vraies personnalités politiques, y compris aux Etats-Unis, conçus pour propager des commentaires critiques à l’encontre de rivaux politiques de l’Iran.
Des opérations de désinformation menées par ces réseaux entourant l’attaque contre le Général Soleimani ont déjà commencé, et les Etats Unis devraient s’attendre à un accroissement des efforts de désinformation de la part de l’Iran au cours des prochains jours ou des prochaines semaines au fur et à mesure des événements à venir. »