Guerre au Moyen-Orient : l'Occident et ses alliés craignent une intensification des cyberattaques
L'offensive militaire américano-israélienne sur l'Iran, lancée le 28 février 2026, s'accompagne d'une cyberguerre qui ne fait que s'intensifier de part et d'autre. Les premières frappes sur le pays des mollahs ont été accompagnées d'attaques visant tout l'appareil médiatique du régime. Plusieurs grands sites d'information iraniens comme l'Agence de presse de la République islamique, Tabnak et Asr Iran ont été victimes d'interruptions de service et d'altérations de contenus. La diffusion de chaînes d'information a été coupée et l'application de prières BadeSaba a été détournée pour afficher ce message à ses nombreux utilisateurs iraniens : "L'aide est arrivée".
"Toute attaque physique s'accompagne d'attaques cyber. En l'espèce, ce type d'opérations a surtout pour objectif de saboter le soutien au régime des mollahs et s'inscrit dans la guerre de l'information", observe Maxime Arquilliere, analyste cyber threat chez Sekoia. C'est désormais au tour de l'Iran d'accompagner ses représailles terrestres d'une intensification des cyberattaques contre ses ennemis.
A tel point qu'un rapport du Bureau du renseignement et de l’analyse du département de la Sécurité intérieure des Etats-Unis, publié samedi 28 février et dont des extraits ont été dévoilés par Reuters le 2 mars, alerte que l'Iran et ses proxy représentent une véritable cybermenace pour les États-Unis et ses alliés. Le régime iranien pilote en effet de nombreux groupes de hackers aguerris à la cyberguerre.
Trois catégories de hackers mobilisés
"Les organisations américaines, israéliennes et basées dans le Golfe sont exposées à un risque élevé. À court terme, le profil de ciblage inclut les médias israéliens, les fournisseurs de télécommunications et les PME, avec des organisations américaines et du Golfe susceptibles d’être touchées en cas d’escalade", indique un rapport d'Insikt Group, le département de threat intelligence de Recorded Future, publié le 2 mars, à propos des cyberattaques pouvant être opérées dans le cadre des représailles iraniennes.
Trois grandes catégories de hackers sont mobilisées dans le cadre de ces représailles. Au cœur du système se trouvent les groupes qui mènent des opérations directement sous l’autorité du ministère iranien du Renseignement. A leurs côtés, opèrent aussi les groupes rattachés au service de renseignement des Gardiens de la révolution, cette force militaire idéologique chargée de garantir la pérennité du régime : APT35, APT42 ou encore Nemesis Kitten. Puis, autour de ces groupes, gravitent des collectifs hacktivistes, implantés à l’intérieur comme à l’extérieur du pays, et qui soutiennent activement Téhéran : APT Iran, Cyber Islamic Resistance ou la 313 Team.
Les hacktivistes en première ligne
Pour Maxime Arquilliere, ce sont les groupes affiliés aux Gardiens de la révolution et les hacktivistes "qui vont être les plus réactifs car, contrairement à ceux du ministère du renseignement, ils sont motivés par une forte idéologie de défense du régime". C'est ce qu'observe aussi l'Unité 42, dans un rapport publié le 2 mars. Mais pour d'autres raisons.
Selon cette équipe de chercheurs en threat intelligence de Palo Alto Networks, les frappes américano-israéliennes sur les sites stratégiques du pays, la perte de connectivité internet qui a suivi et "la dégradation significative de la direction et des structures de commandement iraniennes, limitera probablement la capacité des acteurs étatiques alignés sur l’Iran à coordonner et exécuter des cyberattaques sophistiquées à court terme". Pour ces acteurs étatiques, "la capacité à maintenir des opérations cyber sophistiquées est probablement réduite en raison des perturbations opérationnelles". Ce sont donc surtout les groupes hacktivistes et les proxy cyber qui ont la capacité d'intensifier leurs activités à moindre impact, précise le rapport.
Phishing, malware, DDoS visent les organisations occidentales et alliées
En général, les groupes de hackers pilotés par le ministère du renseignement et les gardiens de la révolution "n'arrivent pas à impacter des cibles stratégiques israéliennes comme l'armée, le renseignement, etc. Ils visent donc des cibles secondaires, des entreprises privées de taille moyenne. Etant désormais acculés, ce n'est pas impossible qu'ils poursuivent cette stratégie. Il est tout à fait possible que, dans les prochains jours, des entreprises américaines soient plus ciblées que d'habitude", précise Maxime Arquilliere. "Les entreprises françaises qui ont une partie de leur business aux Etats-Unis et en Israël peuvent, elles aussi, être ciblées".
Le mode d'attaque de ces groupes est principalement "la vieille technique du phishing. S'ils parviennent à accéder aux systèmes d'information de leurs cibles de cette manière, alors ils exfiltrent ou écrasent la donnée et revendiquent ensuite l'attaque". Depuis le début de l'offensive, ils utilisent aussi le phising pour cibler les civils israéliens utilisant l'application Home Front Command RedAlert qui les avertit immédiatement des menaces aériennes ou balistiques : "L’Unité 42 a identifié une campagne active de phishing utilisant une version malveillante de l’application israélienne Home Front Command RedAlert. Cette campagne utilise un package Android (APK) légitime en apparence pour distribuer des malwares de surveillance mobile et d’exfiltration de données", indique le rapport des chercheurs de Palo Alto Networks. "Ces opérations d'envoi de malwares dans des smartphones est une habitude pour eux", confirme Benoit Grünemwald, directeur des affaires publiques d'Eset France et Afrique francophone.
De leur côté, les cibles des groupes hacktivistes et proxy cyber pourront être "des organisations perçues comme des adversaires" et "des gouvernements dans des régions hébergeant des bases militaires américaines pour perturber la logistique", prévient le rapport. Celui-ci fait aussi état d'une nette augmentation de la menace cyber provenant de ces groupes hacktivistes : "Nous avons également observé une montée de l’activité hacktiviste, avec environ 60 groupes individuels actifs, y compris des groupes pro-russes au 2 mars 2026" qui soutiennent l'Iran.
Leurs cyberattaques provoquent cependant des impacts modérés, voire faibles. Il s'agit principalement d'attaques DDoS et de campagnes de hack and leak, visant à exposer publiquement des données souvent peu sensibles pour créer un impact médiatique et politique. Ainsi, dans un tweet publié le 3 mars, le groupe hacktiviste Islamic Cyber Resistance a fait état, photos à l'appui, d'une de ses dernières attaques contre une entreprise israélienne. "Nos combattants de la brigade Al-Radwan ont mené une opération d'intrusion complète dans les systèmes de caméras de l'entreprise Maccabi Healthcare Services, qui est l'une des plus grandes caisses d'assurance maladie en Israël." De son côté, le groupe 313 Team a revendiqué le ciblage des sites web du ministère de la Défense du Koweit.
Ce conflit au sein du cyberespace gagne en ampleur et s'étend géographiquement. Des groupes hacktivistes russes se joignent en effet peu à peu à l'action. NoName057(16) a par exemple revendiqué des opérations perturbatrices contre des municipalités et des structures de communication et de défense israéliennes, précise le rapport. Le conflit s'embrase dans le cyberespace.