Incidents associés
L’Iran continue d’être un acteur de menace important, et il complète désormais ses cyberattaques traditionnelles par un nouveau mode d’emploi, en exploitant les opérations d’influence cybernétiques (IO) pour atteindre ses objectifs géopolitiques.
Microsoft a détecté que ces efforts s’accélèrent rapidement depuis juin 2022. Nous avons attribué 24 opérations d’influence cybernétiques uniques au gouvernement iranien l’année dernière – dont 17 de juin à décembre – contre seulement sept en 2021. Nous estimons que la plupart des opérations d’influence cybernétiques de l’Iran sont menées par Emennet Pasargad – que nous suivons sous le nom de Cotton Sandstorm (anciennement NEPTUNIUM) – un acteur étatique iranien sanctionné par le Département du Trésor américain pour ses tentatives de porter atteinte à l’intégrité des élections présidentielles américaines de 2020.
Bien que les techniques de l’Iran aient changé, ses cibles n’ont pas changé. Ces opérations restent concentrées sur Israël, les personnalités et groupes de l’opposition iranienne et les États du Golfe adversaires de Téhéran. De manière plus générale, l’Iran a dirigé près d’un quart (23 %) de ses cyberopérations contre Israël entre octobre 2022 et mars 2023, les États-Unis, les Émirats arabes unis et l’Arabie saoudite étant également les principales cibles de ces efforts.
Les cyberacteurs iraniens ont été à l’avant-garde des opérations d’information cybernétiques, dans lesquelles ils combinent des opérations cybernétiques offensives avec des opérations d’influence à plusieurs volets pour alimenter un changement géopolitique en accord avec les objectifs du régime. Les objectifs de ses opérations d’information cybernétiques ont notamment consisté à renforcer la résistance palestinienne, à fomenter des troubles à Bahreïn et à contrer la normalisation en cours des relations arabo-israéliennes, en mettant l’accent sur la panique et la peur parmi les citoyens israéliens.
L’Iran a également adopté des opérations d’information cybernétiques pour saper l’élan des manifestations à l’échelle nationale en divulguant des informations visant à embarrasser d’éminentes personnalités de l’opposition au régime ou à exposer leurs relations « corrompues ».
La plupart de ces opérations suivent un schéma prévisible, dans lequel l’Iran utilise un cyber-personnage pour faire connaître et exagérer une cyberattaque peu sophistiquée avant que des personnages en ligne inauthentiques apparemment sans rapport n’amplifient et souvent exagèrent davantage l’impact des attaques, en utilisant le langage du public cible. Les nouvelles techniques d’influence iraniennes incluent l’utilisation de la messagerie SMS et l’usurpation d’identité de victimes pour améliorer l’efficacité de leur amplification.
Ce sont quelques-unes des informations contenues dans un nouveau rapport Microsoft Threat Intelligence sur les opérations d’entrée-sortie iraniennes par cyber-attaque. Le rapport met en évidence la manière dont l’Iran exploite ces opérations pour riposter plus efficacement aux menaces externes et internes. Il examine également les mesures que nous pourrions les voir prendre dans les mois à venir, notamment la vitesse accrue à laquelle ils mettent en œuvre les exploits récemment signalés.
Alors que certains groupes de menaces iraniens se sont tournés vers les E/S par le biais de cyberattaques, nous avons détecté une baisse correspondante de l’utilisation par l’Iran de ransomwares ou d’attaques de type wiper, pour lesquelles ils sont devenus prolifiques au cours des deux dernières années.
Dans le même temps, la menace future de cyberattaques iraniennes de plus en plus destructrices demeure, en particulier contre Israël et les États-Unis, car certains groupes iraniens cherchent probablement à se doter de capacités de cyberattaque contre les systèmes de contrôle industriels. Les cyberattaques et les opérations d'influence iraniennes devraient probablement rester axées sur les représailles contre les cyberattaques étrangères et les incitations perçues à la contestation en Iran.
Microsoft investit dans le suivi et le partage d'informations sur les IO iraniennes afin que les clients et les démocraties du monde entier puissent se protéger des attaques. Nous publierons des mises à jour semestrielles sur ces acteurs et d'autres acteurs étatiques afin d'avertir nos clients et la communauté internationale de la menace que représentent ces opérations, en identifiant les secteurs et les régions spécifiques à risque accru.
Mots-clés : cyber-influence, cyberattaques, cybersécurité, Digital Threat Analysis Center, Iran, Microsoft Threat Analysis Center, Microsoft Threat Intelligence Centre, MSTIC, menace