Le ton est ferme, l’accusation nette et la décision sans précédent : mercredi 7 septembre, le premier ministre albanais Edi Rama a annoncé, notamment dans une vidéo postée sur Internet, la fin des relations diplomatiques entre son pays et l’Iran. Les diplomates et les employés de l’ambassade iranienne à Tirana disposent de vingt-quatre heures pour faire leurs valises et rentrer à Téhéran.
La raison de cette colère brusque et froide ? L’importante attaque informatique qui a frappé le petit pays des Balkans au cœur de l’été. A la mi-juillet, les autorités avaient dû débrancher les systèmes informatiques gouvernementaux pour parer une attaque par rançongiciel, un programme qui rend inaccessibles des données et réclame à la victime une rançon. L’attaque, s’est insurgé le premier ministre dans son message, visait « à détruire l’infrastructure numérique du gouvernement de la République d’Albanie, à paralyser les services publics, à pirater des données et des communications des systèmes gouvernementaux ».
D’ordinaire, les rançongiciels sont utilisés par la pègre numérique à des fins d’extorsion. Cependant, « l’attaque du 15 juillet n’était pas un acte individuel ou une action concertée d’un groupe cybercriminel indépendant, mais une agression d’un Etat », a tenu à préciser M. Rama. « Une investigation approfondie nous a permis de découvrir des preuves irréfutables que cette attaque contre notre pays a été orchestrée et soutenue par la République islamique d’Iran », a poursuivi le premier ministre.
Cette accusation n’est pas totalement surprenante. L’un des rançongiciels utilisés dans l’attaque et analysés par l’entreprise Mandiant, proche des autorités américaines, était porteur d’un message qui laissait peu de doute sur la motivation et le commanditaire des attaquants. « Pourquoi nos impôts devraient-ils être utilisés au bénéfice des terroristes de Durres ? », inscrivait le virus sur les ordinateurs infectés.
Concomitance avec un meeting d’opposants à Téhéran
La mention par les pirates de cette ville située à une trentaine de kilomètres à l’ouest de la capitale albanaise, Tirana, ne doit rien au hasard : c’est à proximité que devait se tenir, quelques jours plus tard, un meeting de l’Organisation des moudjahidin du peuple iranien (OMPI). Cette mouvance islamo-marxiste, opposante honnie du régime de Téhéran, vaut régulièrement à l’Albanie des attaques de la part de l’Iran. Depuis 2013, un nombre important de ses membres ont en effet trouvé refuge dans le pays, à la demande des Etats-Unis et de l’ONU. Le meeting de l’organisation, prévu à la fin du mois de juillet, avait finalement été annulé pour de nébuleuses raisons de sécurité, les autorités craignant des attentats. La cyberattaque n’avait alors pas été citée comme l’une des raisons de cette annulation.
La concomitance de l’attaque avec le grand rassemblement de l’OMPI et certains éléments techniques avaient conduit, dès l’été, de nombreux observateurs à pointer Téhéran du doigt. Au début du mois d’août, l’entreprise Mandiant notait par exemple que les mêmes pirates que ceux ayant attaqué l’Albanie avaient visé, par le passé, des cibles proches de l’opposition au régime en place à Téhéran, ce qui lui permettait de déduire que ce groupe était probablement d’origine iranienne. Du reste, l’OMPI a par le passé été ciblée par des pirates informatiques iraniens par le biais d’attaques et d’opérations de désinformation.
Plus largement, Téhéran n’hésite pas à recourir à la violence dans sa lutte contre l’OMPI. La justice belge a ainsi confirmé cette année la condamnation de trois Belgo-Iraniens pour avoir fomenté un attentat, finalement déjoué, visant un meeting du Conseil national de la résistance iranienne organisé à Villepinte, en banlieue parisienne, en 2018. Une organisation dont l’OMPI forme l’essentiel des troupes.
Ces dernières années, l’Albanie a déjà expulsé deux diplomates iraniens en poste dans le pays, les accusant de menacer la « sécurité nationale ». Mais la rupture des relations diplomatiques apparaît comme une étape supplémentaire dans les tensions entre les deux pays.
Attaque condamnée par la Maison Blanche
D’autant plus que les Etats-Unis ont immédiatement soutenu l’Albanie. Washington joue un rôle de premier plan dans cette affaire : des experts américains se sont rendus sur place dès le déclenchement de l’attaque pour aider le gouvernement albanais à limiter l’offensive et enquêter sur ses responsables.
La Maison Blanche a appuyé la dénonciation albanaise par le biais d’un communiqué, condamnant « fermement » cette attaque informatique « sans précédent » contre un pays « allié au sein de l’OTAN », qui bafoue, selon elle, les « normes de comportement responsable dans le cyberespace », en l’occurrence en s’en prenant à des « infrastructures critiques fournissant des services publics ».
« Une activité malveillante menée par un Etat qui endommage volontairement des infrastructures (…) peut avoir des conséquences nationales, régionales et mondiales en cascade et peut conduire à l’escalade et au conflit », poursuit le communiqué. « Les Etats-Unis vont agir pour tenir l’Iran responsable des actions qui menacent la sécurité d’un allié », avertit même la Maison Blanche.
Si la réaction américaine est classique, juge Aude Géry, docteure en droit international public et spécialiste du cyberespace, se pose désormais la question de savoir si l’Union européenne (UE) joindra sa voix à celle des Américains, compte tenu « du rapprochement en cours de l’UE avec l’Albanie et ses voisins, y compris sur les questions cyber ».
Plusieurs groupes de pirates informatiques réputés proches du pouvoir iranien mènent depuis des mois une guérilla sans relâche contre des cibles israéliennes. Plus rares sont les exemples d’attaques visant des pays membres de l’Otan et proches de l’Europe comme l’est l’Albanie. Selon Mandiant, l’attaque de juillet constitue ainsi « une opération particulièrement audacieuse » et pourrait suggérer que l’appareil cyber iranien soit moins frileux lorsqu’il s’agit de s’en prendre à des pays « perçus comme travaillant à l’encontre des intérêts iraniens ».