Il y a eu le vol de documents internes à la campagne présidentielle de Donald Trump et des tentatives de piratage contre celle de Kamala Harris. Mais aussi des courriels piégés envoyés à de hauts responsables israéliens, à des membres de la diaspora iranienne ainsi qu’à des chercheurs et journalistes, aux Etats-Unis ou au Royaume-Uni. Ces derniers mois, les hackeurs d’Etat iraniens ont fortement renforcé leurs opérations, comme le note un rapport de la division de Google chargée de la cybersécurité, publié mercredi 14 août et consacré à un groupe de pirates baptisé « APT42 » – également connu sous le nom de « Mint Sandstorm » ou « Charming Kitten ».
Derrière ces noms de code utilisés par les chercheurs en cybersécurité se cache une unité opérant pour le compte du corps des gardiens de la révolution islamique (CGRI) et spécialisée dans le piratage de boîtes mail et le vol de données. Les chercheurs de Google ont constaté qu’APT42 avait recours à des pièges très bien faits, utilisant notamment de faux documents piégés parfaitement imités. Dans certains cas, les pirates ont également pris soin de commencer par développer une discussion avec leurs cibles, afin de les mettre en confiance avant de leur envoyer un lien ou un fichier piégé.
Pour mieux tromper la vigilance de leurs victimes, ils ont également créé de faux profils d’universitaires ou de journalistes, se présentant comme des reporters du Washington Post ou de The Economist. Selon les estimations de Google, Israël et les Etats-Unis ont concentré chacun ces derniers mois 30 % des cibles d’APT42.
Si les opérations de ces groupes augmentent en intensité, elles sont loin d’être nouvelles. En 2020 déjà, Microsoft avait révélé que des pirates iraniens liés aux gardiens de la révolution avaient visé des boîtes mail utilisées par une campagne présidentielle américaine, sans préciser laquelle. APT42 est actif depuis au moins 2015, estimait en 2022 Mandiant, société de cybersécurité de pointe appartenant à Google, dans son premier rapport consacré au groupe. A l’époque, l’entreprise notait que « les méthodes d’APT42 laissent des traces minimales, rendant leur détection et le blocage de leurs activités difficiles ».
Opérations d’ingérence en augmentation
Le CGRI supervise également des opérations hybrides d’ingérence : en la matière, « les efforts de l’Iran ont accéléré rapidement », constatait Microsoft en 2023, avec « vingt-quatre opérations menées [en 2022] contre sept l’année précédente ». Ces opérations peuvent prendre la forme de campagnes de désinformation classiques, mais aussi d’actions de hack and leak – le piratage de documents qui sont ensuite diffusés en ligne dans un but politique.
Il vous reste 41.91% de cet article à lire. La suite est réservée aux abonnés.