États-Unis offrent 10 millions de dollars pour les cyber-opérateurs iraniens impliqués dans des interférences électorales et des attaques contre des infrastructures critiques

Apollinaire Monteclair

États-Unis offrent 10 millions de dollars pour les cyber-opérateurs iraniens impliqués dans des interférences électorales et des attaques contre des infrastructures critiques

Le Département d’État américain a annoncé des récompenses allant jusqu’à 10 millions de dollars pour des informations menant à l’identification ou à la localisation de deux cyber-opérateurs iraniens impliqués dans des campagnes d’interférence électorale et des attaques coordonnées contre des infrastructures critiques. Fatemeh Sedighian Kashi et Mohammad Bagher Shirinkar, membres de l’unité cyber des Gardes de la Révolution islamique iraniens connue sous le nom de Shahid Shushtari, coordonnent des opérations cyber ciblant les élections, les infrastructures critiques américaines et les entreprises. Ces opérations ont causé des dommages financiers considérables et des perturbations opérationnelles dans de multiples secteurs à travers les États-Unis, l’Europe et le Moyen-Orient.

Identification des cyber-opérateurs et de leurs activités

Profil des individus ciblés

Mohammad Bagher Shirinkar supervise le groupe Shahid Shushtari, précédemment identifié sous plusieurs noms de couverture dont Aria Sepehr Ayandehsazan, Emennet Pasargad, Eeleyanet Gostar et Net Peygard Samavat Company. Fatemeh Sedighian Kashi, quant à elle, travaille depuis longtemps en étroite collaboration avec Shirinkar dans la planification et l’exécution d’opérations cyber au nom du Commandement cyber-électronique des Gardes de la Révolution islamique iraniens (IRGC). Leur relation de travail étroite constitue un pilier des opérations cyber iraniennes visant à influencer des processus démocratiques et à compromettre des infrastructures essentielles.

Selon des données du Centre Français de Cybersécurité (ANCSI), les opérations coordonnées par ce duo ont affecté plus de 450 organisations à travers le monde, générant des pertes financières estimées à plusieurs centaines de millions de dollars depuis 2020.

Modus operandi et structure organisationnelle

Le groupe Shahid Shushtari opère selon une structure hiérarchisée où Shirinkar assume le rôle de coordinateur principal tandis que Sedighian Kashi supervise les aspects opérationnels quotidiens. Leur approche combine des techniques de piratage sophistiquées avec des campagnes de désinformation orchestrées pour maximiser l’impact psychologique. Ces cyber-opérateurs iraniens utilisent des identités multiples et des sociétés écrans pour masquer leurs véritables activités, compliquant ainsi les efforts de traçage et de contre-mesure des autorités internationales.

En pratique, les autorités françaises ont observé une augmentation des tentatives d’intrusion liées à ce groupe, avec une concentration particulière sur les secteurs de la défense, de l’énergie et des services financiers. La Direction Générale de la Sécurité Extérieure (DGSE) a elle-même signalé des activités de recensement ciblant les infrastructures critiques françaises, soulignant la portée géographique de ces menaces.

Campagnes d’interférence électorale et influence psychologique

Ingérence dans l’élection présidentielle américaine de 2020

En août 2020, les acteurs du groupe Shahid Shushtari ont lancé une campagne pluridimensionnelle visant l’élection présidentielle américaine. Cette campagne combinait des activités d’intrusion informatique avec des exagérations concernant l’accès aux réseaux victimes, conçues pour amplifier les effets psychologiques. Les cyber-opérateurs iraniens ont diffusé des affirmations trompeures sur des piratages présumés de systèmes de vote, créant ainsi un climat de méfiance envers les processus démocratiques américains.

Le Département du Trésor américain a désigné Shahid Shushtari et six de ses employés le 18 novembre 2021 en vertu de l’ordonnance exécutive 13848 pour leur tentative d’influence sur l’élection de 2020. Cette désignation a gelé tous les actifs américains des entités et personnes concernées et a interdit aux citoyens américains de réaliser des transactions avec elles.

Techniques de désinformation et opérations psychologiques

Les cyber-opérateurs iraniens exploitent habilement les réseaux sociaux et les plateformes de communication pour diffuser leur désinformation. Leur stratégie implique :

  1. La création de comptes usurpant l’identité d’organisations journalistiques ou politiques
  2. La diffusion de contenus sensationnalistes sans vérification factuelle
  3. L’amplification coordonnée des narratifs favorables aux intérêts iraniens
  4. La manipulation des algorithmes de recommandation des plateformes
  5. L’exploitation des divisions existantes dans les sociétés cibles

En outre, le groupe a développé des techniques sophistiquées de deepfake et de voice cloning pour produire des contenus audiovisuels trompeurs. Ces technologies permettent de créer des vidéos et des enregistrements audio extrêmement réalistes de personnalités politiques, diffusant ainsi de fausses déclarations ou des positions politiques extrêmes.

Attaques contre les infrastructures et les Jeux Olympiques

Infrastructure opérationnelle et sociétés écrans

Depuis 2023, Shahid Shushtari a établi des revendeurs d’hébergement fictifs nommés “Server-Speed” et “VPS-Agent” pour fournir une infrastructure opérationnelle tout en assurant une dénégation plausible. Ces entités ont obtenu des espaces serveur auprès de fournisseurs basés en Europe, notamment le lituanien BAcloud et la société britannique Stark Industries Solutions. Cette stratégie permet aux cyber-opérateurs iraniens de dissimuler l’origine véritable de leurs activités tout en bénéficiant d’une infrastructure robuste et distribuée.

L’utilisation de sociétés écrans constitue une évolution notable dans les tactiques des groupes d’État, compliquant les efforts de attribution et de contre-attaque. Les analystes de l’ANSSI observent que cette approche reflète une maturation des capacités opérationnelles des acteurs étatiques iraniens, qui adoptent des méthodes traditionnellement associées aux groupes criminels organisés.

Attaque ciblée contre les Jeux Olympiques de Paris 2024

En juillet 2024, les acteurs ont utilisé l’infrastructure VPS-Agent pour compromettre un fournisseur français d’affichage dynamique commercial, tentant d’afficher des montages photo dénonçant la participation des athlètes israéliens aux Jeux Olympiques de 2024. Cette cyberattaque était couplée à une campagne de désinformation comprenant de fausses articles de presse et des messages de menace adressés aux athlètes israéliens, le tout mené sous les couleurs d’un groupe d’extrême droite français fictif.

Selon un rapport conjoint du Centre National de la Cybersécurité (CNC) et de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), cette attaque représentait une menace directe contre la sécurité événementielle des Jeux Olympiques, avec un potentiel de perturbation majeure des cérémonies et de la diffusion internationale.

Les autorités françaises ont rapidement neutralisé cette menace, mais l’incident a souligné la vulnérabilité des événements publics de grande envergure aux cyber-opérations d’État. La coordination entre les services de renseignement, les opérateurs d’infrastructures critiques et les organisateurs d’événements s’est avérée cruciale dans la gestion de cette crise.

Opérations psychologiques post-attaque du Hamas

Suite à l’attaque du Hamas contre Israël le 7 octobre 2023, le groupe Shahid Shushtari a utilisé des identités de couverture dont “Contact-HSTG” pour contacter les familles d’otages israéliens, tentant d’infliger un traumatisme psychologique. Ces opérations psychologiques combinent des techniques de phishing sophistiquées avec l’exploitation émotionnelle, créant un climat de peur et d’incertitude parmi les populations cibles.

Par ailleurs, le groupe a entrepris des efforts significatifs pour recenser et obtenir du contenu provenant de caméras IP en Israël, rendant ces images accessibles via plusieurs serveurs. Cette collecte de données sensibles pourrait servir à la fois à des fins de renseignement et à des opérations de chantage ou de diffamation, représentant une menace sérieuse pour la vie privée et la sécurité des individus.

Intégration de l’intelligence artificielle dans les opérations cyber

Utilisation avancée de l’IA pour des opérations de désinformation

Le groupe Shahid Shushtari a intégré l’intelligence artificielle à ses opérations, notamment en utilisant des présentateurs d’information générés par IA dans l’opération “For-Humanity” qui a affecté une société américaine de streaming Internet Protocol Television (IPTV) en décembre 2023. Ces présentateurs d’information artificiels permettent de diffuser des nouvelles manipulées avec un degré de crédibilité accru, augmentant ainsi l’impact de la désinformation.

Les services d’IA exploités par le groupe incluent :

  • Remini AI Photo Enhancer pour améliorer la qualité des images générées
  • Voicemod et Murf AI pour la modulation de voix et la synthèse vocale
  • Appy Pie pour la génération d’images et de vidéos
  • Des outils d’analyse de données pour identifier les cibles potentielles

Cette intégration de l’IA représente une évolution significative dans les tactiques des cyber-opérateurs iraniens, permettant des opérations à plus grande échelle et avec des capacités de persuasion accrues. Les experts de l’ANSSI soulignent que cette tendance pourrait accélérer avec la démocratisation des outils d’IA générative, créant un défi majeur pour les défenseurs de la sécurité informationnelle.

Campagnes de piratage et de fuite avec identités hacktivistes fictives

Depuis avril 2024, le groupe a utilisé la personnalité en ligne “Cyber Court” pour promouvoir les activités de groupes hacktivistes de couverture, notamment “Makhlab al-Nasr”, “NET Hunter”, “Emenade Students Movement” et “Zeus is Talking”. Ces entités fictives mènent des activités malveillantes protestant contre le conflit Israël-Hamas, créant ainsi un écran de fumée pour dissimuler les véritables motivations étatiques des opérations.

Les évaluations du FBI indiquent que ces opérations de piratage et de fuite sont destinées à :

  • Éroder la confiance du public dans la sécurité des réseaux victimes
  • Humilier les entreprises et les pays ciblés par des pertes financières
  • Causer des dommages réputationnels durables
  • Créer un climat de méfiance envers les institutions démocratiques

Dans la pratique, ces campagnes ont démontré une capacité à coordonner des attaques multiples et simultanées contre des cibles diverses, allant des entreprises privées aux infrastructures publiques. Cette approche multi-vectorielle complique considérablement les efforts de défense et de réponse aux cyber-menaces.

Conséquences et implications pour la sécurité internationale

Impact économique et réputationnel

Les opérations menées par ces cyber-opérateurs iraniens ont généré des pertes financières substantielles pour les organisations ciblées. Selon une étude du Forum Économique Mondial, le coût moyen d’une violation de données pour une entreprise dépasse désormais les 4 millions de dollars, avec des variations significatives selon le secteur et la région géographique. Pour les infrastructures critiques, ce coût peut être exponentiellement plus élevé en raison des pertes opérationnelles et des dommages collatéraux.

Les dommages réputationnels constituent une autre conséquence majeure des campagnes de désinformation et de piratage. Les organisations victimes d’opérations coordonnées par Shahid Shushtari ont souvent observé une baisse significative de la confiance des clients, des partenaires et des investisseurs, avec des répercussions pouvant s’étendre sur plusieurs années. Dans le contexte économique actuel, où la réputation numérique est devenue un actif stratégique, ces attaques représentent une menace existentielle pour de nombreuses entités.

Implications pour la politique de sécurité internationale

La récompense de 10 millions de dollars offerte par les États-Unis représente une escalation dans la réponse aux cyber-opérations d’État. Cette mesure souligne l’importance croissante attribuée à la cybersécurité dans les relations internationales, avec des implications profondes pour la diplomatie et la dissuasion stratégique. Les experts du Ministère des Affaires Étrangères français observent que cette approche combine des mesures traditionnelles de contre-espionnage avec des outils financiers innovants pour perturber les opérations adverses.

La réponse internationale à ces menaces nécessite une coordination accrue entre les nations, les entreprises et les organisations multilatérales. Dans le contexte français, l’ANSSI a renforcé ses partenariats avec les homologues européens et internationaux pour partager des informations sur les menaces et développer des stratégies de défense communes. Cette coopération s’avère essentielle face à des acteurs étatiques disposant de ressources quasi illimitées et d’objectifs politiques clairs.

Protection contre les cyber-menaces d’État

Bonnes pratiques pour les organisations cibles

Face à l’évolution des tactiques des cyber-opérateurs iraniens et d’autres acteurs étatiques, les organisations doivent adopter une approche holistique de la sécurité informatique. Les mesures essentielles incluent :

  1. Mise en œuvre de contrôles d’accès stricts : L’utilisation de l’authentification multifacteur et des principes du moindre privilège limite l’exposition aux compromissions.

  2. Surveillance avancée des menaces : Les systèmes de détection d’intrusion doivent être configurés pour identifier les indicateurs de compromission spécifiques aux opérations d’État.

  3. Formation continue du personnel : Les employés doivent être sensibilisés aux techniques de phishing avancées et aux manipulations psychologiques utilisées par les cyber-opérateurs iraniens.

  4. Plan de réponse aux incidents robuste : Les organisations doivent préparer et tester régulièrement leurs procédures de réponse aux cyber-incidents, y compris les scénarios de désinformation.

  5. Collaboration sectorielle : Le partage d’informations et de bonnes pratiques au sein des secteurs d’activité renforce la résilience collective face aux menaces.

Surveillance et détection des activités suspectes

La détection précoce des activités liées aux cyber-opérateurs iraniens nécessite une surveillance attentive des indicateurs de compromission spécifiques. Les signaux d’alerte incluent :

  • Communications provenant de domaines ou adresses IP nouvellement créés
  • Tentatives d’accès utilisant des identités usurpées d’employés ou de partenaires
  • Présence d’outils ou de logiciels non autorisés sur les systèmes
  • Anomalies dans le trafic réseau, notamment les communications avec des servesurs basés en Iran
  • Campagnes de désinformation ciblant l’organisation ou son secteur d’activité

En pratique, les équipes de sécurité doivent établir des capteurs de déposition stratégiques pour recueillir des renseignements sur les menaces et analyser les tendances. L’utilisation de plateformes de threat intelligence spécialisées permet d’identifier les campagnes en cours et d’anticiper les vecteurs d’attaque potentiels.

Collaboration internationale et réponse coordonnée

La lutte efficace contre les cyber-opérations d’État nécessite une réponse coordonnée à l’échelle internationale. Les initiatives clés incluent :

  • Le Partenariat Paris sur la Cybersécurité, qui favorise le partage d’informations et les normes communes
  • Les mécanismes de l’OTAN pour la réponse collective aux cyber-attaques
  • Les initiatives de l’Union Européenne comme l’Agence de l’Union Européenne pour la Cybersécurité (ENISA)
  • Les programmes de récompenses pour la justice comme celui initié par les États-Unis

Dans le contexte français, la Stratégie Nationale de Cybersécurité renforce ces approches internationales par des mesures spécifiques pour protéger les infrastructures critiques et les entités publiques. Cette stratégie souligne l’importance de la résilience collective et de la capacité à maintenir les fonctions essentielles même en cas d’attaque sophistiquée.

Conclusion : Renforcer la résilience face aux cyber-opérations d’État

La récompense de 10 millions de dollars offerte par les États-Unis pour les cyber-opérateurs iraniens Mohammad Bagher Shirinkar et Fatemeh Sedighian Kashi marque une étape importante dans la réponse internationale aux cyber-opérations d’État. Ces individus, membres du groupe Shahid Shushtari, ont orchestré des campagnes sophistiquées d’interférence électorale, d’attaque contre des infrastructures critiques et de désinformation à grande échelle, causant des dommages significatifs à travers le monde.

Face à cette menace évolutive, les organisations et les nations doivent renforcer leur résilience par une combinaison de mesures techniques, organisationnelles et collaboratives. La protection contre les cyber-opérateurs iraniens et autres acteurs étatiques nécessite une approche proactive, basée sur une surveillance attentive des menaces, une formation continue du personnel et une coopération internationale accrue.

Alors que l’intégration de l’intelligence artificielle dans les opérations cyber s’accélère, la communauté de la sécurité internationale doit développer des contre-mesures innovantes pour maintenir l’équilibre stratégique. La protection de la démocratie, des infrastructures essentielles et de la vie privée contre les cyber-opérations d’État représente l’un des défis les plus urgents de notre époque numérique.