Les pirates, très probablement situés en Iran, ont eu recours à de faux profils sur Facebook, Twitter et d’autres réseaux sociaux pour extraire des données d’organismes gouvernementaux et de sociétés israéliennes, américaines et britanniques.

Un groupe de sécurité américain, iSIGHT Partners, a publié jeudi les détails de l’arnaque, décrivant la façon dont les pirates mènent « une campagne de cyber-espionnage coordonnée et de longue haleine » pour viser plus de 2 000 officiels gouvernementaux et commerciaux.

Il s’agit d’une version élaborée et bien organisée d’une campagne classique de « hameçonnage », qui soit piège les utilisateurs, les incitant à fournir des informations personnelles – comme des connexions ou des mots de passe – soit détourne leurs données via des logiciels malveillants qui infectent leurs systèmes lorsqu’ils cliquent sur des liens, selon iSight.

Et s’il n’existe aucune preuve directe que l’Iran soit responsable de l’escroquerie, indique la société, beaucoup d’indices vont en ce sens – y compris les moments de la journée où les pirates contactent leurs victimes, des connexions à des heures indues et des pauses à midi, « heure de la sieste » à Téhéran.

Selon iSight, l’arnaque, appelée « Newscaster », est en cours depuis au moins 2011. Les pirates s’inventent des profils détaillés et crédibles sur les réseaux sociaux comme Facebook, Twitter, LinkedIn, Google+, YouTube, Blogger, et autres.

Des profils de journalistes, d’officiels de la défense et de représentants du gouvernement, fervents partisans d’Israël, qui prennent contact avec leurs victimes, elles aussi grandes défenseuses de l’Etat juif.

Au moins 2 000 hommes politiques de haut rang, membres du personnel diplomatique, assistants parlementaires, journalistes et autres ont été victimes de l’escroquerie, déclare iSight.

Les hackers envoient des liens vers des articles d’un site de journalisme bidon (une pépinière de plagiat, selon iSight) appelé Newsonair.org.

Une fois acceptées comme « amies », les victimes reçoivent des messages de hameçonnage, les dirigeant vers des liens où elles sont appelées à fournir des renseignements personnels ou à saisir un identifiant et mot de passe, que les pirates reprennent pour percer l’e-mail de victimes et autres comptes personnels, supposant que la plupart des gens utilisent le même login/mot de passe pour plusieurs sites.

En outre, les hackers infectent les liens de logiciels malveillants, des logiciels espions qui recueillent des informations de mots de passe. Le virus, selon iSight, n’est « pas particulièrement sophistiqué, mais inclut une fonction pouvant être utilisée pour une exfiltration de données. »

Si ce genre de hameçonnage, pratiqué par toutes sortes de criminels en ligne, est monnaie courante, le niveau de sophistication et d’organisation de cette opération indique que les personnes derrière l’arnaque appartiennent à une grande organisation.

Le type de victimes ciblées laisse entendre que c’est l’acte d’un gouvernement en quête d’informations sur les systèmes de défense, stratégies et politiques.

Le fait que les principales cibles sont des Israéliens ou des partisans de l’Etat juif – situés aux Etats-Unis et au Royaume-Uni – et que le sujet de discussion tourne autour de la défense israélienne, accuserait l’Iran.

L’arnaque, indique la compagnie, peut-être une cyber- réponse de l’Iran à Stuxnet, opération durant laquelle des pirates israéliens auraient déclenché des logiciels malveillants retardant considérablement la progression du programme de développement nucléaire iranien.

Cela dit, précise iSight, « nous ne pouvons être certains » qu’il s’agisse de l’Iran. « Nous n’avons aucune information sur le principal commanditaire. Par le passé, nous avons vu des opérations de cyber-espionnage effectuées par des organismes gouvernementaux, des sociétés intermédiaires et d’autres tierces parties. »

Cependant, une pièce accablante relie l’Iran à l’arnaque, affirme iSight. Le faux site les pirates utilisé pour diffuser des liens infectés, Newsonair.org, est enregistré sous une société située à Téhéran.

En outre, selon iSight dit, les pirates prennent contact avec leurs victimes à des heures « irrégulières », tard dans la nuit en Europe et aux États-Unis, ou très tôt le matin, envoient des flux constants de messages – mais avec une pause au milieu.

« Si le timing de l’attaque du réseau social pouvait sembler irrégulier au début, sur plusieurs années, le calendrier de l’activité apparaît clair », indique le groupe.

« Ils maintiennent un horaire régulier, y compris ce qui semble être une pause-déjeuner prolongée.

Ces heures sont conformes aux horaires de travail à Téhéran. En outre, les opérateurs travaillent la moitié de la journée du jeudi et rarement le vendredi, autrement dit le week-end iranien ».

Ce type d’erreurs, entre autres, a permis à l’entreprise de comprendre ce qui se passait.

Alors un conseil de la société : « Restez vigilants. Ne fournissez jamais vos informations de connexion à un site ou à une personne qui vous contacte (et non que vous contactez), utilisez des mots de passe forts et modifiez-les régulièrement. »