Close

L’Iran et l’arme cyber : entre diplomatie et déstabilisation

Depuis la fin des années 2000, l’Iran a régulièrement été accusé d’avoir orchestré des cyberattaques contre certains de ses rivaux, notamment les Etats-Unis et l’Arabie Saoudite. La montée en capacités cyber du pays s’inscrit dans un contexte international tendu, marqué d’abord par la rivalité entre l’Iran et l’Arabie saoudite, tous deux impliqués dans les conflits régionaux, et ensuite par le régime de sanctions imposées à l’Iran par les Etats-Unis en réaction au programme nucléaire iranien.

Le choix par l’Iran de l’arme cyber pour répondre à des menaces extérieures s’explique aussi par un évènement particulier : le choc constitué par l’attaque Stuxnet, menée par les États-Unis avec le soutien d’Israël entre 2009 et 2011. Projet de l’administration Bush prolongée par l’administration Obama, l’attaque avait visé les installations nucléaires iraniennes de Natanz et avait provoqué la destruction d’un millier de centrifugeuses. Cette atteinte à ses infrastructures vitales a poussé l’Iran à développer un système de cyberdéfense, à renforcer ses capacités dans ce domaine, et à mettre en œuvre des cyberattaques, qu’elles soient ou non commanditées par le régime.

La période d’accalmie qui semblait s’être installée avec la mise en place de l’accord sur le nucléaire iranien (Joint Plan of Action, JCPOA) pourrait trouver son terme avec le retrait des États-Unis de cet accord. Ce positionnement ravive en effet les craintes de cyberattaques iraniennes contre les Etats-Unis ou même l’Europe, si cette dernière ne réussissait pas à préserver ses engagements dans le cadre du JCPOA.

Les cyberattaques : armes de déstabilisation dans les rivalités régionales

Les cyberattaques attribuées à l’Iran sont de natures diverses et répondent à différentes logiques. Qu’elles visent le vol ou la destruction de donnée, ou encore l’espionnage, elles s’inscrivent dans un contexte géopolitique particulier et répondent à des objectifs précis.

Des cyberattaques importantes ayant visé en priorité l’Arabie Saoudite et plus largement le Moyen-Orient, impliquant le vol ou la destruction massive de données, ont régulièrement été imputées à l’Iran depuis le début des années 2010. Le contexte géopolitique régional et international permet d’éclairer les objectifs de certaines attaques. Ainsi, la première attaque de grande envergure menée contre certains pays du Golfe, nommée Shamoon par les experts de la société Symantec, avait sans doute un double objectif : contenir l’intervention des pays ciblés sur le dossier nucléaire iranien discuté au plan international et mettre à mal leurs principales ressources économiques. En 2012, Shamoon a d’abord visé la société Aramco, leader du pétrole saoudien. L’attaque avait été annoncée et revendiquée sur Pastebin par le groupe de pirate informatique Cutting Sword of Justice, considéré à ce jour comme responsable de l’attaque. Dans son annonce, le groupe reprochait à l’Arabie Saoudite son intervention dans les guerres du Moyen-Orient et son soutien au « terrorisme islamiste sunnite mondialisé », ainsi que son ingérence dans les affaires iraniennes. L’Arabie Saoudite avait en effet déclaré quelques mois plus tôt qu’elle était prête à compenser par sa propre production de pétrole la diminution à venir de celle de l’Iran résultant du régime de sanctions. Au total, plus de 30 000 ordinateurs de la société Aramco ont été endommagés, provoquant des fuites de données massives et des pertes financières considérables dont les montant exacts n’ont pas été publiés. La société Qatari RasGas a ensuite été touchée par un malware très similaire peu de temps après. Une version améliorée du malware, Shamoon 2, a touchée en 2016 et 2017 plusieurs sociétés du Golfe, dont le nombre et les identité précises, ainsi que l’étendue des dommages, sont difficiles à recueillir.

L’arme cyber, levier d’influence sur la scène internationale.

Certaines des attaques imputées à l’Iran ont également pu avoir pour objet de faire pression sur les États-Unis lors des négociations de l’accord sur le nucléaire iranien. Ainsi, l’opération Ababil consistait en une attaque de type Distributed Deny of Service (DDoS) visant de nombreuses institutions bancaires américaines entre 2011 et 2013, empêchant des dizaines de milliers de clients d’accéder à leurs comptes bancaires. De même en 2014, la société Las Vegas Sand Corporation a vu plusieurs milliers de serveurs et ordinateurs endommagés par un malware, au cours d’une attaque sans doute menée en réaction aux propos de son fondateur, proposant de bombarder l’Iran pour le forcer à abandonner son programme nucléaire. Ces deux exemples de représailles mettent bien en lumière les moyens d’expression et de pression dont l’Iran peut faire usage afin de réaffirmer ses positions et son influence. D’autres opérations plus simples impliquaient le défacement de sites Internet américains. Il s’agissait sans doute là aussi pour l’Iran de démontrer leur capacité de nuisance dans l’éventualité de l’échec de la mise place d’un accord. Il est d’ailleurs intéressant de noter que dans l’ensemble, ces opérations ont rapidement pris fin lors de la mise en place du JCPOA.

Au-delà de la date à laquelle ces attaques ont été menées, la temporalité de leur révélation est elle-même un outil diplomatique s’insérant dans un agenda politique précis. Par exemple, suite à l’accalmie des deux premières années qui ont suivi la signature de l’accord sur le nucléaire, les accusations américaines contre l’Iran ont repris suite aux prises de fonction de Donald Trump, qui affichait déjà pendant sa campagne présidentielle sa volonté de remettre en cause le JCPOA. Au printemps 2016, quelques mois avant l’élection présidentielle américaine, deux sociétés iraniennes et certains de leurs employés ont ainsi été accusés par la justice américaine d’avoir participé à l’opération Ababil en 2011-2013. Toujours en 2016, deux iraniens avaient aussi été accusés du vol, entre 2007 et 2014, de logiciels de la société ArrowTech permettant le développement de missiles. Pour tous ces cas, les tribunaux américains avaient déterminé et rendue publique l’identité des individus – iraniens, présumés responsables les attaques. Les accusations américaines se sont multipliées en 2017 et 2018, concernant entre autres incidents :

  • Une opération de vol de données ayant débuté en 2013 et ayant principalement touché des universités ;
  • Un ransomware exigeant 6 millions de dollars de la chaîne américaine de télévision HBO, symbole de la culture et de l’industrie cinématographique américaine. Dans le même domaine, des épisodes de la fameuse séries Game of Thrones ont également fuité. Le piratage et la revente de logiciels d’armement américains à la société ArrowTech Associates.
  • Le piratage des e-mails de près de trente parlementaires britanniques. Les suspicions britanniques s’étaient d’abord portées sur la Russie, avant d’être redirigées quelques mois plus tard vers l’Iran.
  • En 2018, une opération ayant débuté en 2015 et visant notamment des hôpitaux et structures du domaine de la santé américains aurait permis, avec l’usage d’un ransomware, d’extorquer auprès de près de 200 victimes plus de 6 millions de dollars

Notons que si la réalité de la plupart de attaques n’est pas à mettre en cause, toutes n’ont pas pu être attribuées à l’Iran avec certitude, c’est-à-dire qu’il n’a pas été possible d’établir de façon irréfutable qu’elles ont été menées par des acteurs iraniens ou qu’elles ont été commanditées par le régime. A titre d’exemple, les rapports publiés par la société FireEye concernant les attaques de type Advanced Persistant Threat (APT), mentionnent presque toujours un « responsable présumé ». En effet, dans le cas de l’Iran, la présence d’éléments de langage en persan, ou d’adresses e-mails appartenant à des iraniens dans certains des codes, peut n’être que le résultat d’une manipulation des auteurs réels de l’attaque.

De la même façon, aucun rapport n’a confirmé l’annonce faite par les autorités iraniennes en novembre 2018, qu’une attaque de type Stuxnet 2.0 avait été contenue par leurs services chargés de la cyberdéfense. Ces derniers ont rendu les États-Unis et Israël responsables de cette attaque qui aurait ciblée les infrastructures de télécommunication du pays. Quelques jours plus tôt, des responsables avait par ailleurs fait part de la mise sur écoute de téléphones de hauts responsables iraniens, dont le Président Hassan Rohani.

Conclusion 
Comme le montre l’exemple iranien, l’utilisation de l’arme cyber, tout comme la revendication, la révélation, et l’attribution des cyber-attaques, participe donc profondément d’une logique de représentation et de pression diplomatique sur la scène régionale et internationale, au-delà d’un simple moyen d’affaiblir matériellement ses opposants. Dans le cas iranien, les attaques dont l’Ian a été accusé d’être responsable, ou que le régime a annoncé avoir subies, replacent l’Iran, même de façon involontaire, sur le devant de la scène internationale comme l’auteur d’attaques menées contre l’Occident ou la victime de d’attaques menées à son encontre, et participant d’une escalade des tensions et d’une déstabilisation des relations avec l’Europe en particulier.