Si l’Ukraine a souvent été qualifiée « de laboratoire cyber » de la Russie, alors l’Iran a sans nul doute été le laboratoire cyber des États-Unis et de certains de leurs alliés. C’est dès lors en réaction à une série d’attaques dévastatrices et souvent hautement sophistiquées que le pouvoir iranien a rapidement dû développer ses propres capacités cyber pour tenter de se défendre, mais aussi utiliser ces nouvelles compétences, acquises à marche forcée contre ses adversaires, pour affirmer sa puissance dans le cyberespace.

L’impératif est triple pour la République Islamique. Il s’agit d’être capable de se défendre pour protéger ses infrastructures critiques et leurs capacités liées (notamment nucléaires), de surveiller les forces d’opposition à l’intérieur et l’extérieur du pays susceptibles de déstabiliser le régime tout en réduisant l’influence occidentale et enfin d’affirmer ses capacités en matière de Lutte Informatique Offensive (LIO) sur la scène internationale.

I. ORIGINES ET CARACTÉRISTIQUES DE LA STRATÉGIE CYBER IRANIENNE

1 – Un développement des capacités cyber à marche forcée

Les prémices du développement des capacités cyber offensives et défensives iraniennes commencent au début des années 2000. Les premiers attaquants se présentant comme iraniens se forment et déploient leurs sites Internet, des forums qui feront partie des plus connus dans le monde. Les attaques menées sont principalement des défigurations en masse de site web[1]. Ainsi, en 2003, trois groupes voient le jour en Iran : Ashiyane[2], Shabgard et Simorgh. Parmi les victimes de défigurations revendiquées par Ashiyane figurent les sites Internet de la NASA et du Mossad, en plus de centaines d’autres sites américains et israéliens. Encore actif en 2021, le groupe comptait plus de 11 000 membres inscrits sur son forum en mai 2006.

En 2005, les Gardiens de la Révolution suggèrent pour la première fois la création de l’Iranian Cyber Army, dont la première opération majeure se déroulera en décembre 2009, lorsqu’ils réussiront à rendre indisponible le réseau social Twitter.[3]

Bien que ces groupes d’attaquants mènent leurs activités aux nez et à la barbe du monde, la force cyber iranienne semble encore au début de leur développement en comparaison des capacités de certains pays occidentaux et des nouvelles puissances émergentes comme la Chine (à ce sujet consulter notre dossier sur la Chine disponible ici). Téhéran réagit cependant relativement vite sous la pression et créé le CERT iranien en 2008 « à une époque où seuls 58 pays dans le monde disposaient de ce type de capacité active, comparé aux 130 pays qui disposaient d’un CSIRT national en 2017 »[4]. À la mi-juin 2009, en réaction à la réélection contestée du Président Mahmoud Ahmadinejad, au pouvoir depuis 2005, un mouvement populaire appelant à la révolution éclate en Iran.

Dénommé “Green Movement“, ou encore “Persian Spring” par les médias occidentaux, ce mouvement de contestation constitué de partis d’opposition et de citoyens iraniens exige l’annulation des élections pour les plus modérés, une véritable révolution pour les autres. La contestation prend de l’ampleur au sein du pays et connaît rapidement un écho international grâce aux réseaux sociaux. Il s’agit du plus grand mouvement populaire en Iran depuis 1979, année durant laquelle l’État impérial d’Iran de la dynastie Palhavi est devenu une République Islamique.

Face à ces manifestations, l’État met en place une répression sévère des individus se revendiquant du Green Movement, laquelle pousse les manifestants à se retrancher sur Internet, où ils organisent leurs rassemblements et coordonnent leurs actions contre le gouvernement. L’exemple iconique de l’exécution de Neda Agha-Soltan, une manifestante alors âgée de 26 ans, devient alors le symbole international des violences de cette répression et mobilise le monde entier grâce aux réseaux sociaux. La vidéo de sa mort se propage très rapidement malgré les efforts de l’État iranien pour limiter sa diffusion[5]. Par sa nature choquante et sa viralité, cette vidéo accentue les pressions internationales sur Téhéran.[6]

L’utilisation des réseaux sociaux et autres messageries et technologies occidentales a permis au peuple iranien d’assurer ses communications en contournant les mesures de censure mises en place par l’État. Les révolutionnaires de terrain rejoignent alors leurs alliés en ligne sous un hashtag commun qui est resté pendant longtemps l’une des grandes tendances sur les réseaux sociaux à l’international : #iranelection.

Dès lors, les cyberattaques de type hacktiviste se multiplient en parallèle des manifestations physiques et perturbent l’activité de plusieurs sites Internet appartenant à l’État, dont le site web d’Ahmadinejad, au moyen d’attaques par déni de service (DDoS), dont les scripts se partageaient largement sur les réseaux sociaux, augmentant ainsi la charge que recevaient les serveurs ciblés.[7] De plus, plusieurs canaux de communications alternatifs développés en Occident se popularisent en Iran, permettant à la population de contourner les mesures de censure de l’État notamment au travers de dispositifs comme Haystack[8] (ou d’autres outils que l’on pouvait trouver sur les canaux de la mouvance Anonymous dédiés[9], en coopération avec The Pirate Bay pour supporter les protestations[10]). Afin de limiter l’impact et le rayonnement médiatique du Green Movement, le gouvernement iranien tente de l’étouffer à coup de censure des réseaux sociaux, d’arrestations, de restriction de la navigation sur Internet. Ainsi, plusieurs sites et contenus postés par les manifestants sont victimes de défiguration ou de censure de la part de l’État qui tente de contrôler la communication sur les manifestations.[11] En décembre 2009, Twitter est victime d’une défiguration (ci-contre) revendiquée par l’Iranian Cyber Army. Cette défiguration dénonce l’implication de Twitter, « orchestrée par l’État américain », dans les affaires de l’Iran[12].

Anonymous Pirate Bay Iran ICA defiguration

Il s’agit là d’un des principaux enseignements pour le régime iranien : Internet est une menace pour la stabilité interne du régime et le cyberespace est dès lors un champ de bataille à part entière.

Peu de temps après, une cyberattaque par sabotage inédite et devenue emblématique, est découverte et fait comprendre à l’Iran l’importance hautement stratégique de développer ses propres moyens de défense et ses capacités offensives dans le cyberespace. Cette célèbre attaque dénommée Stuxnet qui pouvait paraître de l’extérieur comme une opération d’orfèvrerie isolée, rentre en réalité dans le cadre d’une des premières campagnes d’opérations de lutte informatique offensive conjointes de long terme à l’encontre de l’Iran : Operation Olympic Games.

Operation Olympic Games

Stuxnet est la cyberattaque poursuivant des objectifs géostratégiques au moyen d’acte de sabotage informatique la plus connue du grand public, notamment pour sa sophistication mais aussi car il s’agit d’une des premières de cette ampleur. L’objectif n’est donc pas ici de synthétiser la littérature abondante sur cette attaque, mais bien de rappeler ses principales caractéristiques et son contexte.

Stuxnet est un ver informatique découvert en 2010[13] qui, selon l’AIEA[14], aurait provoqué la destruction physique d’environ 1 000 centrifugeuses iraniennes sur les 5 000 que comptait le site « secret » de Natanz. Ces centrifugeuses IR-1, réputées peu fiables et largement inspirées de plans dérobés par le docteur pakistanais (né en Inde) Abdul Qadeer Khan, constituent dès lors la clé de voûte du programme d’enrichissement d’uranium iranien.[15] En quelques mots, ce ver informatique hautement sophistiqué ciblant les systèmes SCADA Siemens n’embarquait pas moins de quatre vulnérabilités inconnues (dites « 0-day ») et deux certificats de sécurité, démontrant ainsi la ferme volonté des attaquants de parvenir à leur but sur un réseau bien entendu déconnecté d’Internet. Stuxnet engendrait la casse physique de ces centrifugeuses en modifiant de façon subtile la vitesse de rotation de leurs rotors, tout en leurrant les systèmes de supervision afin de laisser les opérateurs de la centrale dans l’incompréhension. Le message des attaquants et l’impact psychologique associé est hautement symbolique et pourrait se traduire de la sorte : « nous pouvons mener à distance des opérations destructrices extrêmement sophistiquées sur les systèmes les plus sensibles et stratégiques de votre nation, sans que vous soyez en mesure d’en comprendre la cause[16] ». Cette attaque de long terme, dont les premiers développements informatiques auraient débuté au moins depuis 2005 sous l’administration Bush, serait intégrée à une campagne cyber-offensive d’envergure et protéiforme : l’Operation Olympic Games. Stuxnet a pendant presque une décennie été attribuée aux services de renseignement américains (à savoir la NSA[17] dont le « MOA chapeau » serait Equation Group, ainsi que la CIA[18]) et israéliens (en l’occurrence le Mossad, le Ministère de la Défense et la célèbre Unité 8200 en charge du SIGINT). Des sources relativement récentes[19] ont annoncé qu’Olympic Games serait bien à l’origine une opération conjointe des États-Unis et d’Israël, mais qui aurait été élargie aux Pays-Bas, à l’Allemagne et possiblement à la France et au Royaume-Uni. Comme évoqué dans l’article de 2019 précédemment cité, il est également intéressant de noter à quel point les acteurs, enjeux et technologies en présence dans le cadre de Stuxnet peuvent être recoupés avec l’histoire du docteur Abdul Qadeer Khan[20], évoqué supra. Il faut enfin souligner que l’article en question a été publié au moment où le Président français Emmanuel Macron se plaçait en tant que médiateur entre les États-Unis et l’Iran, dans un contexte d’escalade des tensions entre les deux pays.[21]

Bien qu’à traiter au conditionnel, il est intéressant de souligner qu’en 2016, un film documentaire baptisé « Zero days » évoque un programme ultra sophistiqué dans lequel Stuxnet s’inscrirait comme une petite partie de l’opération orchestrée par les États-Unis avec Israël. Ce programme, dont le nom de code serait Nitro-Zeus, serait destiné à détruire la République Islamique d’Iran en paralysant ses infrastructures électriques, ses transports ou encore ses défenses aériennes. Cette opération serait la stratégie de guerre cyber la plus vaste et la plus complexe jamais créée.[22]

Ainsi, en octobre 2011, le logiciel malveillant nommé Duqu est découvert par les experts en cybersécurité du laboratoire de cryptographie de l’Université de Budapest (CrySys Lab). Le code, bien qu’en partie écrit dans un langage spécifique[23], est très similaire à celui du ver Stuxnet mais son utilisation servirait un tout autre objectif : l’espionnage informatique discret et ciblé. En effet, le ver informatique est capable d’enregistrer les frappes clavier, de capturer les informations du système, et possède une capacité à s’autodétruire au bout de 36 jours pour éviter d’être détecté. Les informations recherchées concernaient en majeure partie celles pouvant être exploitées pour mener une éventuelle attaque contre un système de contrôle industriel[24]. Duqu serait également rattaché à l’Operation Olympic Games.

Kaspersky Flame infection map

En mai 2012, dans le cadre d’investigations demandées par l’UIT[25], consécutives à un possible acte de sabotage informatique ayant impacté le Ministère du pétrole iranien un mois plus tôt, un autre logiciel malveillant est exposé au grand jour par Kaspersky[26]. Ce ver informatique dénommé Flame (aussi SkyWiper, bien que Kaspersky estime que la fonctionnalité de sabotage (wiper) soit surement l’œuvre d’un second code ou module), analysé par des chercheurs en cybersécurité du monde entier, est qualifié à l’époque par Kaspersky de la « cyber-arme la plus sophistiquée qui ait été déployée ». Flame est un outil complexe dépassant de 20 fois la taille du code de Stuxnet et servant principalement à la collecte d’informations et l’exfiltration de documents sensibles. La sophistication de Flame ne laisse aucun doute quant à l’implication d’un État dans son développement, et les États-Unis et Israël sont ici encore les deux principaux suspects. Cette campagne d’espionnage aurait ciblé 1 000 ordinateurs dans divers pays du Moyen-Orient dont principalement l’Iran, la Palestine, la Syrie et le Soudan[27], dans les secteurs gouvernementaux et de l’éducation.

CSEC Chronicles Gossip Girl

En avril 2019, Chronicles[28] s’appuyant notamment sur les divulgations d’informations classifiées d’Edward Snowden, consacre un article à un mode opératoire chapeau ou “Supra Threat Actor” nommé GOSSIP GIRL figurant dans un document classifié du CSEC[29][30]. Aux différents composants de l’Opération Olympic Games (Duqu, Flame, Gauss[31] et Stuxnet) y est rajouté une quatrième famille de programmes malveillants nommés FLOWERSHOP (a.k.a Cheshire Cat). Ce dernier présente des liens avec Stuxnet et semblerait, là encore, être le produit de la collaboration de plusieurs acteurs. Le schéma ci-dessus représenterait les différentes connexions entre les logiciels malveillants compris dans le “Supra Threat Actor” GOSSIP GIRL.

La chronologie ci-dessous présente les principaux événements cyber qui ont ciblé l’Iran dans le contexte de l’opération Olympic Games. Elle synthétise les propos ci-dessus et permet ainsi de constater à quel point l’Iran a été la cible de nombreuses attaques informatiques extrêmement sophistiquées à une époque où les cyberattaques n’étaient pas aussi fréquentes et étudiées qu’aujourd’hui. Cette chronologie n’a pas pour objectif d’être exhaustive, certains événements peuvent dès lors ne pas figurer sur celle-ci.

chronologie olympic games2

C’est dès lors dans le cadre d’un contexte national et géopolitique extrêmement tendu, sur fond d’offensives cyber hautement sophistiquées et répétées que l’Iran a dû développer à marche forcée ses capacités cyber. La création du Cyber Defense Command en 2010, opère sous la supervision de la Passive Civil Defense Organization, en lien avec les forces armées iraniennes. En 2012, le High Council of Cyberspace est créé en Iran sur ordre de l’Ayatollah Khamenei et devient la plus haute autorité iranienne chargée de la gestion du cyberespace. Ce dernier est composé des plus hauts niveaux d’autorité tels que le Président de la République, le Parlement, la direction du pouvoir judiciaire, plusieurs ministères (Renseignement, Culture, Télécommunications, Science, etc.) ou encore la direction de la radio-télévision détenue par l’État[32].

Le gouvernement iranien augmente alors significativement les budgets et les investissements dans la cybersécurité et continue par la suite à restructurer l’organisation des opérations cyber du pays. Selon Small Media, les budgets alloués dans la cybersécurité par l’Iran auraient été multipliés par 12 entre 2012 et 2015, passant de 42 millions de rials iraniens à environ 550 millions de rials iraniens[33]. La construction d’un organigramme étatique en charge des opérations cyber démontre la volonté de l’Iran de développer ses capacités défensives et offensives dans le cyberespace afin de pouvoir assurer sa survie, poursuivre ses objectifs stratégiques historiques tout en affirmant sa puissance dans le cyberespace face à ses nombreux adversaires et ce, en évitant un conflit ouvert nécessitant des moyens et équipements militaires beaucoup plus importants. Cette concentration des efforts dans le cyberespace redéfinit donc la stratégie de l’Iran, avec cependant une certaine constante qui consiste alors à mener une guerre asymétrique face à des adversaires plus avancés technologiquement.

2 – Structuration et caractéristiques de la stratégie cyber iranienne

La stratégie cyber iranienne s’inscrit dans un principe plus vaste, central dans la doctrine de guerre iranienne, l’asymétrie du conflit

Au cœur de sa doctrine de guerre, la notion d’asymétrie du conflit est un principe clé dans la conception iranienne de l’usage de la force. À la suite de la guerre Iran-Irak (1980-1988), les sanctions américaines, entraînant son isolement forcé, ont fortement pénalisé l’accès de la République Islamique à des armes conventionnelles, accusant ainsi un retard technologique par rapport à ses adversaires. L’Iran a été alors contraint de concentrer ses efforts et ses ressources dans l’acquisition de forces moins conventionnelles, lui permettant d’exploiter les faiblesses de ses ennemis technologiquement supérieurs. Là où elle ne pouvait rivaliser avec les progrès technologiques de ses concurrents, la République Islamique a su faire preuve d’adaptation en développant des moyens offensifs alternatifs. En matière de force aérienne par exemple, l’Iran a développé des missiles balistiques pour atteindre ses rivaux régionaux. En substitution à des capacités navales traditionnelles, il s’est doté d’une flotte de petites embarcations d’attaque redoutablement rapides. Au lieu d’avoir recours à des forces terrestres conventionnelles, l’Iran fait appel à des groupes paramilitaires tels que la force Al-Qods, unité d’élite du Corps des Gardiens de la Révolution. La République Islamique est également connue pour parrainer plusieurs « proxies » paramilitaires comme le Hezbollah libanais, en leur fournissant des armes via la Syrie notamment (la notion de « proxy » sera explorée plus en détails à la suite de cet article).

Le programme offensif cyber iranien s’inscrit dans la continuité de cette logique d’asymétrie. Le front cyber représente la prolongation des terrains d’affrontement terrestres.

La Lutte Informatique Offensive (LIO) est considérée comme un outil tactique tout aussi efficace que des moyens de guérilla « classiques », pour infliger des dommages significatifs à un ennemi.

Les actifs économiques de l’adversaire deviennent les cibles de campagnes d’espionnage et de sabotage dans l’optique de réduire sa puissance politique et militaire. En démontrant comment des pays militairement plus faibles pouvaient utiliser leurs capacités cybernétiques pour contrebalancer l’avantage d’adversaires technologiquement plus avancés, l’Iran se dessine une nouvelle place sur l’échiquier international. Contrairement au nucléaire, le développement de son programme cyber permet à l’Iran d’attirer l’attention de la communauté internationale, tout en limitant le risque de sanctions économiques et de représailles. En effet, en l’absence de règles claires et compte tenu des difficultés techniques sur l’attribution des cyberattaques, la République Islamique, comme de nombreux États, peut agir discrètement dans le cyberespace et n’aura qu’à nier toute opération qui lui serait attribuée. La stratégie cyber fait donc partie intégrante de la logique d’asymétrie du conflit et cela, Téhéran l’a bien compris.

La relative sophistication des attaques iraniennes ne préjuge pas de leur impact

À l’heure actuelle, la relative sophistication technique de ses attaques ne semble pas permettre à l’Iran d’être considéré comme une cyber puissance bénéficiant d’une technologie de pointe, comme peuvent l’être les États-Unis ou Israël. Tout comme pour les armes conventionnelles, l’isolement politique et économique de Téhéran a été un obstacle dans l’acquisition des technologies et des compétences nécessaires pour développer massivement ses capacités cyber. C’est pour cela que, mis à part certaines APT soupçonnées d’être directement orchestrées par l’État, la majorité des attaques iraniennes ne peuvent être qualifiées comme avancées d’un point de vue technologique. Une large partie des modes opératoires d’attaque iraniens sont souvent le fruit du mélange entre des outils open-source relativement simples et de logiciels malveillants « faits-maison » un peu plus complexes, réutilisant parfois du code trouvé sur des forums d’attaquants informatiques. Les cibles sont elles aussi parfois opportunistes et la sécurité opérationnelle des attaquants aléatoire.

Toutefois, il est important de rappeler que dans le domaine de la LIO, la sophistication ne préjuge pas de l’impact d’une attaque informatique.

En effet, la créativité, parfois la chance, ou encore la détermination, voire en l’espèce “l’acharnement” de l’attaquant, peuvent parfois contrebalancer, sur ce terrain, une technologie moins avancée. Ainsi, les MOA réputés iraniens ont déjà démontré à plusieurs reprises qu’ils pouvaient, grâce à une utilisation maîtrisée des techniques les plus classiques (ingénierie sociale, vol d’identifiants ou hameçonnage ciblé entre autres), être redoutablement efficaces en matière d’espionnage et de sabotage et réussir à atteindre des objectifs stratégiques.

 La vaste série d’attaques par Déni de Service (DDoS), connue sous le nom d’Opération Ababil[34], ayant ciblé le secteur financier américain, en est une illustration. L’offensive, débutée en septembre 2012, dans le prolongement de l’Operation Shamoon (voir infra), s’est prolongée jusqu’au milieu de l’année 2013 et a été décrite comme l’une des plus virulentes et longues campagnes d’attaques DDoS connues à l’époque. Les attaquants informatiques ont été capables de mettre en commun une bande passante suffisante pour submerger de requêtes les sites web de pas moins d’une cinquantaine de banques majeures et d’institutions financières américaines, empêchant ainsi des milliers de particuliers et d’entreprises d’accéder à leurs comptes en ligne et de procéder à des paiements. Les actions pour remédier à ces attaques auraient coûté des centaines de millions de dollars de dommages[35] à des institutions emblématiques américaines, comme la Bank of America, JPMorgan Chase ou encore la Bourse de New York. Les attaques ont été revendiquées par un groupe de hackers patriotes iraniens, jusqu’alors inconnu, qui se font appeler les Cyber Fighters of Izz ad-Din al-Qassam. Leur patronyme fait explicitement référence aux brigades d’Al Qassam, la branche armée du Hamas et l’un des nombreux « proxies » soutenus par l’Iran. Sept d’entre eux ont été inculpés par le DoJ américain en 2016[36]. Tout au long de cette campagne, les attaquants annonçaient leurs cibles une semaine à l’avance sur Pastebin, avec un discours teinté chaque fois d’iconographies anti-américaine, israélienne et saoudienne fortes. La stratégie adoptée ici avait pour objectif d’exercer une pression psychologique sur les victimes et prouver la confiance des attaquants dans leurs capacités à réussir ces attaques et leur détermination pour parvenir à leurs fins. En parallèle, une nébuleuse de comptes de réseaux sociaux est apparue, avec vraisemblablement comme volonté d’amplifier les dommages causés notamment en fédérant le mécontentement clients. La diffusion massive d’iconographies et de campagnes d’influence sur les réseaux sociaux semblent parfaitement s’inscrire dans le cadre du savoir-faire iranien en matière de propagande.

       Au-delà de la quantité importante de sanctions qui pesaient déjà sur Téhéran, il est fort probable que cette opération inédite ait été menée par représailles à la suspension du réseau SWIFT des banques iraniennes sous embargo en mars 2012. Cet isolement du système mondial de messagerie financière a en effet entraîné un lourd déséquilibre de la balance des paiements iranienne et plongé le pays dans une crise économique sans précédent. L’Iran a cherché à montrer au monde qu’il pouvait lui aussi causer des dommages économiques à ses adversaires. Étant donné le poids de l’économie américaine et le rôle central du dollar dans le commerce mondial, il aurait été inutile pour l’Iran de répondre en utilisant des outils économiques ou financiers conventionnels. L’Iran s’est donc tourné vers le cyberespace pour engager sa propre forme de guerre économique.

Citalid Chronologie des evenements precedents les operations Shamoon Ababil 1

En parallèle à ce type d’opérations, l’Iran a démontré à plusieurs reprises que la guerre de l’information pouvait, elle aussi, être menée avec des tactiques relativement simples. Ces opérations d’influence s’inscrivent directement dans la volonté des autorités iraniennes de miser sur le Smart Power pour promouvoir les intérêts de leur pays. Les réseaux sociaux ont permis à la République Islamique de sortir de son isolement physique et de tenter d’influencer l’opinion publique et politique au-delà de ses frontières.

Iran desinformation


Ce passage à des campagnes d’influence internationales est assez nouveau pour les attaquants iraniens, qui s’inspireraient notamment des techniques russes en créant de faux sites d’information ainsi que de faux profils sur les réseaux sociaux, pour diffuser des nouvelles et des récits alignés avec le discours iranien[37]/[38].  

Ces campagnes de propagande extérieure se sont particulièrement intensifiées à partir de 2018, notamment suite au retrait des États-Unis de l’Accord de Vienne sur le nucléaire iranien. En août 2018, Facebook, Twitter et Google ont ainsi annoncé la découverte de campagnes de désinformation iraniennes sur les réseaux sociaux, ciblant les États-Unis, l’Amérique latine et le Moyen-Orient[39]/[40].

L’Iran est capable de mener des opérations d’espionnage et de sabotage d’envergure

Si la République Islamique a prouvé par le passé qu’elle était capable de se confronter directement au « Grand Satan », elle n’a jamais hésité non plus à mener des opérations d’envergure à l’encontre de ses principaux rivaux régionaux. Le « traître saoudien » et « l’ennemi israélien » sont en effet des cibles historiques dans le viseur de Téhéran. En dépit de leurs maturités défensives relativement élevées, l’Iran est néanmoins déjà parvenu à réaliser de vastes opérations de sabotage, lesquelles auraient occasionné à ses adversaires des dégâts matériels et financiers particulièrement importants.

Ainsi, le wiper Shamoon, qui a ciblé les infrastructures informatiques de la compagnie pétrolière saoudienne Saudi Aramco en août 2012, est indéniablement l’attaque iranienne la plus spectaculaire. L’attaque contre Saudi Aramaco était programmée pour se déclencher via une bombe logique à 11h08, la veille des congés du ramadan –un 15 août de surcroît. Son objectif principal n’était pas l’espionnage, ni la collecte de renseignements, mais bien la destruction totale et complète des données stockées sur le système d’information bureautique ciblé, effaçant par la même les données de plus de  30 000 ordinateurs de la compagnie[41]. Après avoir vraisemblablement été introduit via une clé USB branchée par un collaborateur interne, le programme malveillant s’est propagé dans les serveurs de l’entreprise. Si l’attaque n’a pas affecté directement la production pétrolière de Saudi Aramco, elle a néanmoins lourdement perturbé sa gestion des approvisionnements et des expéditions. Du jour au lendemain, l’entreprise saoudienne a dû revenir à la machine à écrire et au fax et acheter 50 000 nouveaux disques durs, provoquant temporairement une flambée des prix mondiaux[42]. Il aurait fallu environ cinq mois au géant du pétrole pour se remettre de cette cyberattaque, qui lui aurait coûté entre 10 et 100 millions de dollars.

Benjamin Netanyahu ONU Shamoon drapeau US

Il est notable que cette vaste opération de sabotage, quasi kamikaze par ses possibles répercussions difficilement prévisibles à l’échelle internationale, intervient en 2012 alors que l’Iran est une puissance particulièrement affaiblie. Son économie s’effondre sous le poids des sanctions commerciales imposées par les États-Unis : cette année-là, les prix des biens de première nécessité flambent et la monnaie iranienne est au plus bas. Toutefois, en dépit de son économie exsangue, l’Iran continue de se rapprocher inexorablement de la technologie nucléaire, ce qui exacerbe les tensions dans la région. En parallèle, son voisin saoudien est en pleine ascension. Les exports de pétrole iranien plongeant, ceux de l’Arabie Saoudite explosent. En outre, le royaume Saoudien bénéficie d’un fort rayonnement stratégique et d’influence dans la région depuis qu’il a étouffé les révoltes populaires au Bahreïn au printemps 2011. Par cette attaque, la République Islamique démontre pour la première fois qu’elle aussi est capable d’initier des opérations de sabotage informatique d’envergure et qu’elle ne sera pas éternellement une « cyber-victime ». En ciblant les actifs économiques stratégiques de Riyad, l’Iran a cherché à saper les fondements de la puissance énergétique saoudienne, sur laquelle repose également toute sa puissance géopolitique. Le groupe d’attaquant réputé iranien et jusqu’alors inconnu Cutting Sword of Justice, a revendiqué l’attaque, déclarant qu’elle était une vengeance contre « l’oppression et les crimes perpétrés par l’Arabie Saoudite dans la région ». Cette campagne pourrait également avoir été menée en représailles à une attaque ayant ciblé le ministère iranien de l’Energie ainsi que diverses entreprises iraniennes dans le même secteur en avril 2012[43] (évoqué supra dans le cadre de l’Operation Olympic Games / Flame). Le ciblage d’infrastructures d’alliés américains est également un moyen pour les Iraniens de s’en prendre indirectement aux États-Unis. Dans le cas de Shamoon, le code contenait en son sein un message de propagande, à savoir une image volontairement mal formatée représentant le drapeau américain en feu (version intégrale de l’image ci-contre), indiquant qu’au-delà des intérêts pétroliers, cette attaque portait également un message destiné aux États-Unis.

Comme pour l’Operation Ababil (évoqué supra), des comptes de réseaux sociaux ont diffusé une propagande particulièrement travaillée, visant à amplifier les impacts de l’attaque contre Saudi Armaco et appelant à fédérer la communauté des croyants contre les ennemis américains, israéliens et saoudiens.

Shamoon reseaux

Il faut enfin rappeler que cette attaque de sabotage inédite à l’encontre du premier exportateur mondial de brut de l’époque, s’inscrit dans le cadre d’une campagne plus vaste ayant ciblé le géant qatari RasGas, second producteur de gaz liquéfié. Shamoon, code de sabotage informatique réputé iranien refera surface tout au long de la décennie[44].

Outre les opérations de sabotage, l’Iran est également capable de mener des campagnes d’espionnage de grande ampleur. Pendant les négociations de l’Accord de Vienne, l’Iran s’est également engagé dans une vaste campagne de cyberespionnage, qui s’est prolongée bien après la ratification de l’accord. Entre 2013 et 2017, des attaquants informatiques iraniens associés au Mabna Institute sont accusés d’avoir infiltré les réseaux de centaines d’universités, d’entreprises privées et d’organisations gouvernementales dans 22 pays, y compris aux États-Unis. En compromettant les comptes de messagerie d’environ 8000 professeurs universitaires, les attaquants sont parvenus à dérober plus de 30 téraoctets de données de recherche académique et de propriété intellectuelle, pour le compte du régime Iranien[45]. Neuf iraniens ont été inculpés pour ces incidents par le DoJ américain en 2018.

La question de la cyberdéfense est donc au cœur des préoccupations du régime iranien. Du sommet du gouvernement jusqu’aux MOA réputés soutenus par l’État, en passant par les proxys et les attaquants patriotiques, l’écosystème cyber iranien s’étend et se structure.

II. ORGANISATION ET PRINCIPAUX ACTEURS DE L’ÉCOSYSTEME CYBER IRANIEN

1 – Organisation des principaux organes de cyberdéfense iranien

Crée sous l’impulsion de l’Ayatollah Khamenei, le Conseil suprême du Cyberespace voit le jour le 26 février 2012, ses membres sont élus pour une durée de 3 ans et le président iranien est à sa tête.

Il est aussi important de noter que le bureau présidentiel, via le bureau de coopération technologique, regroupe différents acteurs contribuant au développement du tissu technologique iranien. Le Parc technologique de Pardis (Pardis Technology Park – PTP) se présente notamment comme la « Silicon valley iranienne » où sont installées de nombreuses entreprises d’excellence. Ce parc technologique est installé au nord-est de Téhéran. Il a été créé en 2020 dans le but de mettre en avant les capacités technologiques de l’Iran mais aussi dans le but de former une nouvelle génération[46]. Aussi, le parc scientifique et technologique du Guilan (Guilan Science and Technology Park – GSTP) est quant à lui un lieu de recherche et développement spécialisé dans les équipements industriels de pointe, dans les domaines pétroliers, gaziers, pétrochimiques et nanotechnologiques. Il semble également être une interface de coopération internationale. En ce sens, un exemple d’échanges relativement récents entre des chercheurs iraniens, russes, azerbaïdjanais et kazakhs[47].

Citalid Principaux organes du Joint Staff of the Armed Forces

Sources :

2 – Analyse des principaux Modes Opératoire d’Attaque réputés iraniens

Disclaimer : l’attribution formelle d’attaques informatiques à un acteur ou un pays, et les liens qui peuvent être faits entre elles, demeure un exercice toujours incertain et périlleux ! Dans le présent article, les liens entre Mode Opératoire d’Attaque et acteurs s’appuient principalement sur des attributions, fondées sur des faisceaux d’indices plus ou moins concordants, qui ont été réalisés par des éditeurs de solutions de cybersécurité. Cet article n’a par ailleurs pas la prétention de recenser de façon exhaustive l’ensemble de ces MOA, mais bien d’offrir aux lecteurs une vue représentative de la cybermenace évoquée.

Citalid Premieres dates d activite des principaux MOA attribues a l Iran

La majorité des menaces persistantes avancées (APTs) attribuées à l’Iran ont commencé à apparaître à partir de l’année 2011, soit juste après Stuxnet et le Green Movement. Seulement 8 modes opératoires d’attaque sont connus avant 2011 alors que 13 nouvelles APTs ont commencé à mener des activités malveillantes entre le début de l’année 2011 et la fin de l’année 2013 ! Une majorité de ces nouvelles menaces étant attribuée à des organismes proches de l’État iranien par les chercheurs en sécurité informatique, cette inflation des MOA réputés iranien semble illustrer une nouvelle prise de conscience de Téhéran.

Citalid Part MOA Iran ayant historiquement mis en oeuvre ces typologies d attaque

Parmi les menaces iraniennes connues et identifiées par les chercheurs jusqu’à aujourd’hui[48], près de 2/3 des APTs ont déjà mené au moins une campagne d’espionnage, ce qui montre l’intérêt de l’Iran dans la collecte d’information auprès de ses rivaux mais aussi de sa population. Une partie non négligeable de cet espionnage est dirigée vers les dissidents au régime iranien, notamment des journalistes et médias indépendants (voir infra III. Contrôle et surveillance du cyber espace domestique iranien). À titre d’exemple, Check Point dévoilait en février 2021 une campagne d’espionnage orchestrée par le MOA Domestic Kitten, une APT qui semble être liée au gouvernement iranien, spécialisée dans des activités de surveillance des citoyens iraniens pouvant représenter une menace pour le régime[49].

Defacement ICSGH

Parmi les types d’attaques les plus représentatives attribuées à Téhéran, se trouvent également la défiguration et le déni de service distribué (DDoS), typologies d’attaques menées au moins une fois par 15,8% et 10,5% des MOA iraniens respectivement. Ces deux types d’attaque sont historiquement très appréciées des mouvements hacktivistes, qui ont une place importante en Iran. Ces attaques nécessitent généralement assez peu de ressources et contribuent à faire passer des messages politiques ou idéologiques tout en déstabilisant les victimes tant qu’aucune remédiation n’est mise en place. Nous pouvons par exemple citer l’Opération Ababil menée par le groupe hacktiviste Izz ad-Din al Qassam Cyber Fighters détaillé plus haut, ou encore la défiguration du site Internet du Federal Depository Library Program, appartenant au gouvernement américain, faisant suite à l’assassinat de Qassem Soleimani le 3 janvier 2020. Le site en question affichait alors l’image ci-contre de Donald Trump se faisant frapper par un poing, dont le prolongement représente un bras portant un insigne proche de celui associé aux Gardiens de la Révolution. Des messages pro-Iran étaient également affichés[50].

Enfin, environ 10% des APTs connues attribuées à l’Iran ont déjà mené des actions de sabotage informatique. Plusieurs effaceurs de données (wipers) ont été développés en Iran et utilisés pour déstabiliser de façon significative les victimes ciblées. Ces attaques sont aussi un moyen pour l’Iran de montrer que le pays possède des capacités offensives de sabotage et ont les moyens nécessaires pour répondre à des cyberattaques ou à des accumulations de sanctions provenant de ses rivaux. De ces actes de sabotages, Shamoon (évoqué supra) est sans doute l’opération la plus connue menée par des APTs iraniennes. Aussi, Agrius, menace apparue en 2020 et ciblant Israël et initialement dédiée à des campagnes d’espionnage, a récemment mené une série d’attaques par wiper, déguisées en incident de ransomware (les fichiers n’étaient pas chiffrés mais altérés avec des données aléatoires les rendant inutilisables). Ces attaques en plus de servir à démontrer les capacités de l’Iran à mener des cyberattaques destructrices sont également un moyen efficace de déstabiliser des organisations israéliennes, ennemi historique de l’Iran.

Citalid Part des MOA attribues Iran ayant historiquement deja cible ces pays

En observant le ciblage des APTs iraniennes, on remarque que les victimes et les secteurs ciblés reflètent assez bien les tensions géopolitiques iraniennes. Sans trop de surprise, ce sont les États-Unis que l’on retrouve le plus dans la victimologie des MOA réputés iraniens. Le deuxième pays au classement est l’Iran lui-même, ceci pouvant principalement s’expliquer par les campagnes d’espionnage sur les dissidents et les médias indépendants qui y sont menées. Les pays qui suivent sont parfaitement alignés avec la conflictualité iranienne : Israël, l’Arabie Saoudite ou les Émirats Arabes Unis.

Concernant le ciblage sectoriel, on retrouve également les grands intérêts de l’Iran. Le secteur que l’on retrouve le plus souvent, en étudiant cette victimologie des APTs attribuées à Téhéran est celui de l’énergie. En effet, 75,9% des modes opératoires attribués à l’Iran ont déjà ciblé au moins une fois le secteur de l’énergie. Les problématiques liées au pétrole et au nucléaire sont des sujets d’intérêt pour l’Iran et il n’est donc pas étonnant que des cyberattaques en tout genre se concentrent sur ce secteur. Les gouvernements arrivent ensuite, suivis de la défense et du secteur militaire.

Citalid Part des MOA attribues a Iran ayant historiquement deja cible ces secteurs d activite

En complément de ces APTs, une étude de Recorded Future[51] annonçait l’existence d’au moins 50 organisations travaillant pour le compte de l’État iranien pour ses projets d’offensives cyber. Ces organisations sont sollicitées pour accomplir des objectifs individuels qui mis bout à bout peuvent constituer une chaîne d’infection complète et sophistiquée. L’exemple évoqué dans cette étude évoque le développement d’un code d’exécution à distance par une organisation et l’exploitation de ce dernier pour obtenir un accès persistant chez la victime par une autre. Cette délégation et le cloisonnement de tâches à des groupes toujours plus petits permettent de limiter les attributions directes au gouvernement iranien tout en externalisant le développement de logiciels malveillants.

III. CONTRÔLE ET SURVEILLANCE DU CYBER ESPACE DOMESTIQUE IRANIEN 

Comme mentionné précédemment, le Green Movement a été décisif pour les autorités iraniennes, qui ont alors pris conscience qu’Internet était un espace de liberté d’expression à part entière qui pouvait menacer la stabilité du régime s’il n’était pas fermement contrôlé. Afin d’éviter que de tels incidents ne se produisent à nouveau, le gouvernement a alors renforcé sa surveillance et la répression qu’il exerçait déjà sur Internet et les autres moyens de communication. Dès lors, l’Iran s’est isolé un peu plus du monde en instaurant son propre réseau Internet national, indépendant du World Wide Web, connu sous le nom de National Information Network (NIN). Tous les contenus diffusés sur le web iranien sont contrôlés, filtrés et censurés pour effacer toutes traces de contenus jugés contraires aux valeurs islamiques, et s’assurer qu’ils restent conformes aux lois, mœurs et récits dictés par la propagande d’État[52]. En 2012, le Supreme Council of Cyberspace voit le jour, pour déterminer les sites devant être bloqués et établir la réglementation d’un intranet maîtrisé. Il existerait donc un Internet local fonctionnel, qui ne permet que très peu aux internautes iraniens de communiquer avec le reste du monde.

L’accès à l’Internet mondial est largement restreint par les autorités : toute page web hébergée en dehors des frontières iraniennes est inaccessible. Il n’existe que trois points d’entrée permettant d’établir le contact entre le réseau local et mondial, opérés par les sociétés de télécommunications IPM, ITC et TIC, toutes contrôlées par l’État. Néanmoins, depuis une dizaine d’années, le régime iranien souhaite aller encore plus loin en mettant en place un réseau domestique complètement étanche au réseau mondial, sur le modèle du Great Firewall chinois. La récente élection d’Ebrahim Raïssi à la présidence du pays pourrait accélérer la réalisation de cette initiative, fortement soutenue par les conservateurs. Le 28 juillet dernier, un nouveau projet de loi, appelé officiellement “Législation pour protéger les utilisateurs du cyberespace”, a été proposé au Parlement iranien. Alors que le pays traverse une sérieuse crise de confiance envers le pouvoir central, l’objectif de cette loi tend à restreindre encore plus l’accès des citoyens iraniens à l’Internet mondial, en condamnant l’utilisation de VPN notamment[53]. À l’heure actuelle, le régime est déjà en mesure de couper à tout moment toute connexion avec le monde extérieur. Lors des fortes contestations sociales de novembre 2019, l’État avait ainsi ordonné la coupure totale du National Information Network, afin d’étouffer les violentes protestations contre la hausse du carburant. Cette interruption d’une ampleur inédite a duré une semaine, privant les internautes iraniens de tout moyen de communication[54].

Iranian censorship

Les réseaux sociaux et applications de messagerie occidentales sont également censurés (à l’exception d’Instagram). Seules certaines personnalités politiques comme l’Ayatollah Khamenei peuvent utiliser Twitter pour leur communication officielle. L’Iran a donc développé ses propres moteurs de recherches, réseaux sociaux et applications de messagerie, en s’inspirant fortement des modèles étrangers et sur lesquels le régime a bien entendu la maîtrise[55]. Toutes ces mesures de contrôle et de surveillance témoignent de la ferme volonté du gouvernement iranien de consolider son emprise idéologique sur la sphère informationnelle. L’Internet iranien est ainsi devenu un véritable levier de propagande et de contrôle de l’information pour le régime. Entre décembre 2009 et juin 2013, l’Iranian Cyber Army a ainsi été à l’origine de la défiguration de nombreux sites web de membres de l’opposition politique, d’entreprises, ainsi que de médias indépendants en persan[56]. Sur les réseaux sociaux, le régime n’hésite pas non plus à créer de faux profils et à mener des campagnes d’ingénierie sociale, pour diffuser de fausses informations discréditant des opposants politiques et publier des messages pro-gouvernementaux.

               Au fil des années, la République Islamique a acquis des technologies de surveillance avancées lui permettant de contrôler les flux d’informations transitant sur ses réseaux informatiques et de télécommunications. En juin 2011, la plus grande société de télécommunications iranienne, la Telecommunication Company of Iran (TCI), a ainsi acheté un système de surveillance au chinois ZTE[57]. Le pays a également conçu ses propres applications de messagerie, derrière lesquelles se cachent « l’œil de Téhéran ». A titre d’exemple, les étudiants sont contraints d’utiliser Soroush, (l’équivalent iranien de Telégram), s’ils souhaitent pouvoir contacter l’administration de leur université[58]. Tout individu repéré en train de critiquer le gouvernement ou de publier des contenus allant à l’encontre des valeurs islamiques sur la toile, est directement arrêté. Les cibles directes de cette traque sont les groupes d’opposition, les activistes, les journalistes, les défenseurs des droits de l’Hommes et les dissidents. Le gouvernement est prêt à tout pour empêcher ces derniers de promouvoir leurs opinions et risquer d’influencer le peuple iranien. Entre juin et août 2011, le « hacker patriote » iranien « Comodohacker » s’est ainsi attaqué aux bases de données du principal fournisseur de permissions SSL, la société de sécurité néerlandaise DigiNotar. En dérobant plus de 500 certificats[59], il a permis au gouvernant iranien d’espionner les comptes de messagerie Gmail de plus de 300 000 utilisateurs. La nationalité des cibles (quasi exclusivement iranienne) ainsi que l’ampleur de l’opération, laissent peu de doutes quant au fait qu’elle aurait été orchestrée par la République Islamique à des fins de sécurité intérieure. Cette attaque, connue désormais sous le nom d’Opération Black Tulip, représente encore à ce jour l’une des plus grandes failles de sécurité de l’histoire d’Internet.

Après la découverte de l’opération Olympic Games, l’État Iranien a mobilisé d’importantes ressources pour se doter de capacités cyber offensives.  A la manière des Mélophores perses, les attaquants informatiques réputés iraniens semblent être aujourd’hui les fers de lance des « proxies » de la République Islamique.  Pour Téhéran, qui cherche à être dissuasif sur la scène internationale, cette stratégie de confrontation hybride va de pair avec le développement de capacités balistiques et nucléaires.  Toutefois, le pays n’a pas résolu ses propres faiblesses structurelles et les braises du Green Movement brûlent encore. Élu en août dernier Ebrahim Raïssi hérite ainsi d’une théocratie durement éprouvée par la pandémie de Covid – 19 et fragilisée économiquement dans un contexte géopolitique tendu, de telle sorte que se pose la question de la rationalité de ses ambitions.

Lire la partie II > RÉALITÉS ET PERCEPTIONS DE LA PERSE MODERNE : UN PARANGON CHIITE SCLÉROSÉ ?

https://citalid.com/blog/realites-et-perceptions-de-la-perse-moderne-un-parangon-chiite-sclerose/


[1] Ashiyane comptabilisait en mai 2011 plus 23 000 défigurations recensées sur le site Zone-H.

[2] The History of Ashiyane : Iran’s First Security Forum |Recorded Future (18 juin 2019) https://www.recordedfuture.com/ashiyane-forum-history/

[3] Report on the Operation of the Iran Cyber Army in Hacking Websites, Payvand (2010) http://www.payvand.com/news/10/feb/1216.html

[4] Capabilities and Conflict in the Cyber Domain  An Empirical Study | Anthony John Stuart Craig (janvier 2020) https://orca.cardiff.ac.uk/136860/1/2020CraigAPhD.pdf

[5] Iranian fugitive: identity mix-up with shot Neda wrecked my life [ The Guardian (14 octobre 2012) https://www.theguardian.com/world/2012/oct/14/iran-neda-soltani-id-mix-up

[6] « Neda » death video steps up pressure on Iran over protests |The Sydney Morning Herald (22 juin 2009) https://www.smh.com.au/world/neda-death-video-steps-up-pressure-on-iran-over-protests-20090623-cu7j.html

[7] Iranian opposition launches organized cyberattack against pro-Ahmadinejad sites, D. Danchev | ZDNet (15 juin 2009) https://www.zdnet.com/article/iranian-opposition-launches-organized-cyber-attack-against-pro-ahmadinejad-sites/

[8] « Haystack » gives Iranian opposition hope for evading Internet censorship, S. Peterson | The Christian Science Monitor (16 avril 2010)  https://www.csmonitor.com/World/Middle-East/2010/0416/Haystack-gives-Iranian-opposition-hope-for-evading-Internet-censorship

[9] Site Anonymous Iran | Archive.org https://web.archive.org/web/20100812110619/http://iran.whyweprotest.net/

[10]Internet underground takes on Iran | Wikiwix http://archive.wikiwix.com/cache/index2.php?url=http%3A%2F%2Fnews.ninemsn.com.au%2Ftechnology%2F827036%2Finternet-underground-takes-on-iran

[11]Web Pries Lid of Iranian Censorship, B. Stelter & B. Stone | The New York Times (23 juin 2009) https://www.nytimes.com/2009/06/23/world/middleeast/23censor.html

[12] TechCrunch is now a part of Verizon Media | TechCrunch (17 décembre 2009) https://techcrunch.com/2009/12/17/twitter-reportedly-hacked-by-iranian-cyber-army/

[13] Stuxnet a été découvert par Sergey Ulasen travaillant pour la société Belarus VirusBlokAda

[14] Agence Internationale pour l’Énergie Atomique

[15] Obama Ordered Wave of Cyberattacks Against Iran, D.E. Sanger| The New York Times (1er juin 2012) https://www.nytimes.com/2012/06/01/world/middleeast/obama-ordered-wave-of-cyberattacks-against-iran.html

[16] Il convient cependant de constater que plus les versions de Stuxnet avançaient moins leurs auteurs semblaient prendre le soin de leurrer de façon discrète les opérateurs de la centrale.

Comment le virus Stuxnet a détruit les installations nucléaires iraniennes, S. Wesolowski | Vice (26 octobre 2020) https://www.vice.com/fr/article/v7mgeb/comment-le-virus-stuxnet-a-detruit-les-installations-nucleaires-iraniennes

[17] National Security Agency

[18] Central Intelligence Agency

[19]Yahoo is now a part of Verizon Media | Yahoo https://news.yahoo.com/revealed-how-a-secret-dutch-mole-aided-the-us-israeli-stuxnet-cyber-attack-on-iran-160026018.html

[20] https://www.courrierinternational.com/article/2004/02/19/dr-khan-maitre-du-marche-noir

[21]À l’ONU, Macron joue les médiateurs entre les États-Unis et l’Iran | Le Parisien (24 septembre 2019)

https://www.leparisien.fr/politique/a-l-onu-macron-joue-les-mediateurs-entre-les-etats-unis-et-l-iran-24-09-2019-8159007.php

[22]U.S. Hacked Into Iran’s Critical Civilian Infrastructure For Massive Cyberattack, New Film Claims, J. Ball | BuzzFeed News (16 février 2016) https://www.buzzfeednews.com/article/jamesball/us-hacked-into-irans-critical-civilian-infrastructure-for-ma#.egDAgGrL7z

[23]The mystery of Duqu Framework solved, I. Kuznetsov | Securelist (29 janvier 2021) https://securelist.com/the-mystery-of-duqu-framework-solved-7/32354/

[24]Duqu: A Stuxnet-like malware found in the wild |Budapest University of Technology and Economics https://www.crysys.hu/publications/files/bencsathPBF11duqu.pdf

[25] Union Internationale des Télécommunications

[26] The Flame: Questions and Answers, A. Gostev | Securelist (17 octobre 2019) https://securelist.com/the-flame-questions-and-answers/34344/

[27]Flame, un virus espion d’État | Le Monde(20 juin 2012) https://www.lemonde.fr/technologies/article/2012/06/20/flame-un-virus-espion-d-etat_1721182_651865.html

[28] Who is GOSSIPGIRL? | Chronicle Blog (9 avril 2019)
https://medium.com/chronicle-blog/who-is-gossipgirl-3b4170f846c0

[29] Communications Security Establishment Canada / Centre de la Sécurité des Télécommunications

[30] Pay attention to that man behind the curtain: Discovering aliens on CNE infrastructure | Document classifié du CSEC auprès de la NSA (juin 2010) https://christopher-parsons.com/Main/wp-content/uploads/2015/02/cse-pay-attention-to.pdf

[31] Gauss: Nation-state cyber-surveillance meets banking Trojan | Kaspersky (9 août 2012) https://securelist.com/gauss-nation-state-cyber-surveillance-meets-banking-trojan-54/33854/

[32] Structure of Iran’s Cyber Warfare | INSTITUT FRANCAIS D’ANALYSE STRATEGIQUE (6 février 2016) http://www.strato-analyse.org/fr/spip.php?article223

[33] Iranian Internet Infrastructure and Policy Report | Small Media (Février 2015) https://smallmedia.org.uk/sites/default/files/u8/IIIP_Feb15.pdf 

[34] Online Banking Attacks Were Work of Iran, U.S. Officials Say, N. Perlroth & Q. Hardy |The New York Times (9 janvier 2013)https://www.nytimes.com/2013/01/09/technology/online-banking-attacks-were-work-of-iran-us-officials-say.html

[35]U.S. Accuses 7 Iranians Of Cyberattacks On Banks And Dam, T. Brewster | Forbes (24 mars 2016)  https://www.forbes.com/sites/thomasbrewster/2016/03/24/iran-hackers-charged-bank-ddos-attacks-banks/?sh=35f290087255

[36] Seven Iranians Working for Islamic Revolutionary Guard |U.S. Department of Justice (11 août 2016) https://www.justice.gov/opa/pr/seven-iranians-working-islamic-revolutionary-guard-corps-affiliated-entities-charged

[37]Network of Social Media Accounts Impersonates U.S. Political Candidates, Leverages U.S. and Israeli Media in Support of Iranian Interests, A. Revelli | FireEye (28 mai 2019) https://www.fireeye.com/blog/threat-research/2019/05/social-media-network-impersonates-us-political-candidates-supports-iranian-interests.html

[38]Special Report : How Iran spreads disinformation around the world, J. C. B. Stubbs | Reuters (30 novembre 2018) https://www.reuters.com/article/us-cyber-iran-specialreport-idUSKCN1NZ1FT

[39] Sur le modèle russe, l’Iran s’essaie à la propagande en ligne à grande échelle, S. Seibt | France 24 (30 août 2018) https://www.france24.com/fr/20180830-internet-iran-propagande-russie-fireeye-palestine-arabie-saoudite-trump

[40] SUSPECTED IRANIAN INFLUENCE OPERATION – Leveraging Inauthentic News Sites and Social Media Aimed at U.S., U.K., Other Audiences |FireEye (2018) https://www.fireeye.com/content/dam/fireeye-www/current-threats/pdfs/rpt-FireEye-Iranian-IO.pdf

[41] The inside story of the biggest hack in history, J. Pagliery | CNNMoney (5 août 2015) https://money.cnn.com/2015/08/05/technology/aramco-hack/

[42] Ibidem

[43] Iranian Oil Sites Go Offline Amid Cyberattack, T. Erdbrink | The New York Times (24 avril 2012) https://www.nytimes.com/2012/04/24/world/middleeast/iranian-oil-sites-go-offline-amid-cyberattack.html

[44] Shamoon Wiper Attacks Return to the Gulf | Security Week (1er décembre 2016) https://www.securityweek.com/shamoon-wiper-attacks-return-gulf
Saudi Arabia warns on cyber defense as Shamoon resurfaces | Reuters (23 janvier 2017) https://www.reuters.com/article/us-saudi-cyber-idUSKBN1571ZR
Saipem says Shamoon variant crippled hundreds of computers | Reuters (12 décembre 2018)

[45] Nine Iranians Charged With Conducting Massive Cyber Theft Campaign on behalf on Behalf of the Islamic Revolutionary Guard Corps | U.S. Department of Justice (23 mars 2018) https://www.justice.gov/opa/pr/nine-iranians-charged-conducting-massive-cyber-theft-campaign-behalf-islamic-revolutionary

[46] https://www.lepoint.fr/monde/pardis-la-silicon-valley-d-iran-veut-s-ouvrir-au-monde-13-12-2016-2090165_24.php

[47] ASU and Guilan Science and Technology Park Hold a Joint Webinar  | Astrakhan State University  (ASU) (21 octobre 2020) https://asu.edu.ru/en/news/10205.html

[48] Le recensement des Modes Opératoires d’Attaques présentés ici, ne peut être considéré comme exhaustif.

[49] https://research.checkpoint.com/2021/domestic-kitten-an-inside-look-at-the-iranian-surveillance-operations/

[50] https://www.washingtonpost.com/nation/2020/01/06/american-government-website-defaced-iran-hackers-bloodied-trump/

[51] https://go.recordedfuture.com/hubfs/reports/cta-2018-0509.pdf

[52] Internet Censorship in Iran : A First Look, (2013) https://jhalderm.com/pub/papers/iran-foci13.pdf

[53] Inquiétudes pour l’accès à Internet en Iran | L’Orient-Le Jour (27 juin 2021) https://www.lorientlejour.com/article/1266487/inquietudes-pour-lacces-a-internet-en-iran.html

[54] Iran’s internet is mostly down. Here’s what makes that unusual, I. Mazloumsaki | CNN (19 novembre 2019) https://edition.cnn.com/2019/11/19/middleeast/iran-internet-shutdown-intl/index.html

[55] L’Iran copie-colle-t-elle les réseaux sociaux ? | Arte, YouTube (11 mars) https://www.youtube.com/watch?v=WTnQi3D27Ko

[56]IRAN’S CYBER THREAT – Espionnage, sabotage and revenge (page 11), C. Anderson & K. Sadjadpour | Carnegie Endowment for International Peace (2018)  https://carnegieendowment.org/files/Iran_Cyber_Final_Full_v2.pdf

[57] Tightening the Net – Part 2: The Soft War and Cyber Tactics in Iran | ARTICLE 19, (2017) https://www.article19.org/data/files/medialibrary/38619/Iran_report_part_2-FINAL.pdf

[58] L’Iran copie-colle-t-elle les réseaux sociaux ? | Arte, YouTube (11 mars 2019) https://www.youtube.com/watch?v=WTnQi3D27Ko

[59] Comodohacker returns in DigiNotar incident, L. Whitney |CNET, (6 septembre 2011) https://www.cnet.com/tech/services-and-software/comodohacker-returns-in-diginotar-incident