L’équipe de sécurité de Microsoft (DTAC) a annoncé, vendredi 3 février, avoir relié le piratage dont a été victime Charlie Hebdo à un groupe de hackers d’Etat iraniens, baptisé Emennet Pasargad par le FBI – et Neptunium par le géant de l’informatique.
Le 4 janvier, des données dérobées sur les serveurs du journal satirique, dont des adresses e-mail et postales d’abonnés, ont été mises en vente sur au moins deux forums spécialisés. Des échantillons de la base de données ont également été publiés sur Internet. Le piratage s’est aussi accompagné d’une campagne de propagande en ligne, d’ampleur limitée, menée par de faux comptes sur Twitter et Facebook attaquant l’hebdomadaire, comme l’avait révélé Le Monde. A ce jour, plusieurs comptes Twitter identifiés dans cette opération sont toujours en ligne, selon les constatations du Monde, mais certains d’entre eux ont changé d’identité, tweetant notamment en hébreu et se faisant passer pour des internautes israéliens.
Ce mode opératoire correspond très précisément à celui d’Emennet Pasargad, écrit Microsoft, qui ne précise pas si son analyse s’appuie également sur des indicateurs techniques non publics. « L’attaque a coïncidé avec des critiques du gouvernement iranien contre le projet de caricatures de Charlie Hebdo », écrit l’entreprise. Au début du mois de janvier, l’hebdomadaire avait en effet prévu de publier les résultats d’un concours international de caricatures du guide suprême iranien. Le jour du piratage, le ministre iranien des affaires étrangères avait dénoncé « les actes insultants du journal français ».
Vol et diffusion de données
Emennet Pasargad avait fait l’objet d’une notice de signalement du FBI en janvier 2022. L’agence fédérale américaine notait que le groupe s’était historiquement attaqué à des cibles israéliennes, mais avait depuis élargi ses proies potentielles et pouvait représenter une menace pour des entreprises et administrations américaines.
Dans un rapport consécutif, les autorités américaines avaient décrit plusieurs éléments typiques du modus operandi d’Emennet Pasargad, très ressemblants avec l’attaque dont a été victime Charlie Hebdo. « Le groupe amplifie et promeut souvent le vol et la fuite des données de ses victimes en montant leur propre site de diffusion, mais aussi en utilisant la messagerie Telegram et des forums de discussion », expliquaient, à l’époque, les autorités américaines.
Par exemple, le FBI estime que cette entité s’est pendant deux ans fait passer pour un groupe d’hacktivistes propalestiniens, nommé Hackers of Savior, afin d’attaquer plusieurs cibles israéliennes, en volant puis faisant fuiter des données, ainsi qu’en modifiant la page d’accueil de plusieurs sites. A Charlie Hebdo, le piratage a été revendiqué par un hacker nommé Holy Souls, qui a également « défacé » (c’est-à-dire modifié la page d’accueil) des sites Web français pour vanter ses actions et diffusé des données volées à l’hebdomadaire sur plusieurs forums de discussion.