Moyen-Orient : cyberguerre larvée ou simple propagande cyber ?

Selon AP, et le New York Times, l’armée américaine a engagé ses cyber-soldats la semaine dernière dans une attaque informatique visant des systèmes informatiques militaires iraniens. D'après nos confrères, la frappe, qui aurait été préparée depuis plusieurs semaines, a rendu inopérants les systèmes de « contrôle des lanceurs de missiles ».

Sans trop de surprise, du côté de Téhéran, le message est diamétralement opposé : le ministre iranien de l’information et des communications, assure que les cyber-fantassins américains « essaient dur, mais n’ont pas conduit d’attaque réussie ». Mais si l’Iran n’a pas hésité à se poser en victime de Stuxnet, au début de la décennie, dans le contexte de tension croissante l’opposant aux Etats-Unis, il apparaît difficile de l’imaginer adopter aujourd’hui la même posture.

Pour autant, bien qu’assurément échaudé par l’épisode et d’autant plus prudent, Téhéran n’en est pas pour autant une forteresse imprenable. Symantec vient ainsi d’expliquer avoir trouvé les indices d’une opération conduite par le groupe Turla (ou Waterbug) – considéré comme lié à Moscou – à l’encontre du groupe Crambus (aussi appelé Oilrig) et lié, lui, à l’Iran : une tentative de détournement de son infrastructure. C’était fin 2017. Depuis, le groupe a connu d’autres déconvenues. Au printemps, une « entité » – pour reprendre les termes des équipes de l’unité 42 de Palo Alto Networks – s’est attachée à rendre publics de multiples outils et éléments de code d’Oilrig.

Pour autant, le gouvernement américain semble s’attendre à des représailles, suite à ses revendications d’attaque réussie propagées dans la presse. Christopher Krebs, directeur de l’agence de sécurité des infrastructures (CISA) du ministère américain de l’Intérieur (DHS), s’est ainsi fendu durant le week-end d’un communiqué alertant de la menace « d’activités cyber malicieuses » visant « les industries et agences gouvernementales des Etats-Unis » conduites par des « acteurs et des intermédiaires du régime iranien ». Et d’assurer que ces adversaires « utilisent de plus en plus des attaques destructrices », des « wipers », qui rendent inutilisables les systèmes affectés. Faudrait-il alors s’attendre à un nouveau retour de Shamoon, ou une nouvelle version de Stonedrill ? 

FireEye indique aujourd’hui avoir identifié des activités de hameçonnage ciblé conduites par un groupe attribué au régime iranien, l’APT33. Celles-ci ont visé « à la fois les secteurs privé et public aux Etats-Unis ». Pour l’éditeur, à ce stade, « cette activité est compatible avec la collecte de renseignements ». Prudent, FireEye ajoute toutefois que le groupe APT33 « a dans le passé effectué des attaques destructrices s’ajoutant à la collecte de renseignements ». On lui attribue justement Shamoon et Stonedrill.

Appelé Elfin par Symantec, ce groupe s'intéresserait de plus en plus aux Etats-Unis, outre donc l'Arabie Saoudite. L'éditeur indique qu'au moins 18 organisations américaines ont été attaquées par ce groupe au cours des trois dernières années, avec notamment une opération repérée en février.