Les Etats-Unis continuent de hausser le ton contre les cyberattaques iraniennes. Quelques jours après avoir accusé Téhéran d’être à l’origine d’une vaste offensive contre l’Albanie, les autorités américaines ont annoncé, mercredi 14 septembre, avoir inculpé trois pirates informatiques qu’elles accusent d’avoir mené de multiples attaques par rançongiciels.
Et pas n’importe lesquelles : Mansour Ahmadi (34 ans) Ahmad Khatibi Aghda (45 ans) et Amir Hossein Nickaein Ravari (30 ans) s’en seraient pris à des centaines d’entités dans le monde, aux Etats-Unis, au Royaume-Uni, en Israël et en Russie notamment. Parmi leurs victimes américaines figurent aussi bien des petites entreprises qu’une compagnie d’électricité, des municipalités, l’association représentant les avocats (American Bar Association), mais aussi un refuge pour victimes de violences conjugales et l’hôpital pour enfants de Boston.
Les rançongiciels sont des logiciels malveillants qui chiffrent les données informatiques, rendant les systèmes souvent inutilisables. Les pirates réclament ensuite une rançon – en l’occurrence plusieurs milliers de dollars – pour déverrouiller les fichiers. Certains ont accepté : le refuge pour femmes victimes de violences a ainsi versé 13 000 dollars (environ 13 000 euros) pour récupérer ses données et empêcher leur divulgation.
Les trois hommes se trouvent probablement en Iran, a précisé à l’Agence France-Presse (AFP) un haut responsable du ministère de la justice sous le couvert de l’anonymat. Le département d’Etat offre 10 millions de dollars de récompense pour toute information permettant de les localiser. « Cela montre notre détermination à empêcher toute attaque au rançongiciel contre nos infrastructures », a commenté le chef de la diplomatie américaine, Antony Blinken.
Un lien avec le régime de Téhéran
Dans des communiqués distincts, le département d’Etat et celui du Trésor assurent que les individus inculpés sont « affiliés aux gardiens de la révolution », l’armée idéologique de l’Iran. Le département du Trésor a d’ailleurs annoncé des sanctions contre ces trois individus, deux entreprises iraniennes spécialisées dans le numérique qu’ils dirigent et sept autres ressortissants iraniens, les accusant également d’avoir mené des attaques informatiques.
L’inculpation judiciaire ne mentionne aucun lien avec le gouvernement iranien et le FBI soutient que le but « principal » de ces cyberattaques était l’enrichissement personnel. Certaines de leurs victimes étaient d’ailleurs iraniennes, ont fait savoir les autorités américaines.
Cette différence s’explique par la manière dont est structuré l’appareil cyber iranien, qui a recours de manière importante à des sous-traitants sélectionnés parmi les entreprises privées du pays. Il est donc tout à fait crédible que certains aient pu, en parallèle, mener des attaques pour leur seul profit.
Ce lien avec les gardiens de la révolution est également accrédité par une autre source : au printemps, les noms de certains des individus sanctionnés et inculpés aujourd’hui par les Etats-Unis avaient filtré sur le groupe Telegram « Lab Dookthegan ». Ce groupe, opposant au régime de Téhéran et dont l’identité réelle est inconnue, s’est taillé une réputation depuis plusieurs années en dévoilant les détails techniques des outils offensifs utilisés par les pirates étatiques iraniens, et, dans certains cas, l’identité de ces derniers. Selon ce groupe, considéré comme fiable par de nombreux experts, ces individus sont bel et bien affiliés aux gardiens de la révolution.
Ces accusations américaines correspondent aussi à l’évolution de la menace informatique iranienne. L’utilisation des rançongiciels par des groupes de pirates affiliés à l’Etat iranien est une tendance lourde de ces deux dernières années, selon de nombreuses entreprises spécialisées dans l’analyse des cyberattaques. D’après ces dernières, si certaines attaques semblent crapuleuses, d’autres sont conçues pour infliger des dégâts dans le tissu économique, récupérer des informations sensibles et semer le désordre.