' fill='%230E4F97'%3E%3Cg id='Group-5' transform='translate(370.000000, 11.000000)'%3E%3Cg id='avatar' transform='translate(6.000000, 4.000000)'%3E%3Ccircle id='Oval' cx='8' cy='4' r='4'%3E%3C/circle%3E%3Cpath d='M7.12864205,10 L8.87135795,10 C11.558649,10 14.0087196,11.5384024 15.1762205,13.958831 L16,15.6666667 L16,15.6666667 L15.3374858,17.5134983 C15.228016,17.8186575 14.9774027,18.051811 14.6651459,18.1389975 L8,20 L8,20 L1.33485405,18.1389975 C1.02259733,18.051811 0.771984007,17.8186575 0.662514216,17.5134983 L0,15.6666667 L0,15.6666667 L0.823779545,13.958831 C1.99128041,11.5384024 4.44135104,10 7.12864205,10 Z' id='Rectangle'%3E%3C/path%3E%3C/g%3E%3C/g%3E%3C/g%3E%3C/g%3E%3C/svg%3E)
Cyberattaques iraniennes: plusieurs groupes distincts et un « brouillard numérique »
Entreprises, infrastructures, caméras de vidéosurveillance : les revendications d'attaques en ligne se sont multipliées depuis fin février
Depuis le déclenchement de la guerre entre les États-Unis, Israël et l’Iran, le front numérique s’est renforcé, avec de nombreuses cyberattaques revendiquées de la part d’acteurs iraniens, et des groupes moins visibles mais plus avancés.
Entreprises, infrastructures, caméras de vidéosurveillance : les revendications d’attaques en ligne se sont multipliées depuis fin février.
Très visible, le groupe de cyberattaquants Handala a ainsi annoncé jeudi avoir mis la main sur quelque 50 000 emails d’un chercheur israélien spécialiste de l’Iran. La veille, le même acteur avait indiqué avoir visé deux entreprises américaines.
« Les voir ressurgir actuellement, ce n’est pas quelque chose de très surprenant », commente auprès de l’AFP Pierre-Yves Amiot, directeur du CERT (centre d’alerte et de réaction) chez Orange Cyberdefense, alors que les premières activités de l’organisation remontent à fin 2023.
Après avoir noté début mars une « intensification des cyberattaques menées par des activistes », le service de recherche Unit 42 de l’entreprise de cybersécurité américaine Palo Alto Networks a averti jeudi d’un risque accru de cyberattaques par « wiper », soit un logiciel malveillant destiné à effacer l’ensemble des données d’une victime.
De son côté, la direction israélienne de la cybersécurité a émis récemment des alertes à plusieurs reprises. Elle a notamment affirmé avoir identifié « des piratages de caméras de sécurité à des fins d’espionnage » de la part de groupes iraniens.
Entretenir le « flou »
S’il est avéré que Handala est responsable de plusieurs cyberattaques, selon Pierre-Yves Amiot, « dissocier ce qui est revendiqué de ce qui est réel, c’est toujours un petit peu difficile. »
« Récemment, ils ont beaucoup travaillé sur la revendication d’attaques qui ne sont pas forcément exactes, (…) leur but, c’est d’essayer de conserver cette espèce de flou pour faire croire qu’ils ont une activité extrêmement forte alors que la réalité peut être parfois moins claire que ça », poursuit-il, évoquant un « brouillard numérique ».
Le statut même du groupe est discuté.
Considérée comme une organisation « hacktiviste », c’est-à-dire un acteur indépendant motivé par des revendications politiques, Handala voit sa qualification évoluer aux yeux de certains analystes. « La communauté du renseignement sur les menaces considère actuellement que ce groupe est une façade pour le ministère iranien du Renseignement et de la Sécurité (MOIS) », a noté jeudi l’Unit 42.
Mais l’organisation n’est que la partie la plus émergée de l’iceberg cyber iranien.
« Ils sont régulièrement actifs, mais nettement moins actifs qu’un APT », indique à l’AFP Adam Burgher, analyste spécialisé dans le suivi de ces groupes « APT », pour « advanced persistent threat » ou « menace persistante avancée ».
« Nous constatons certains signes d’une augmentation de l’activité cette semaine » de la part de ces attaquants aux techniques sophistiquées, souligne l’expert.
Au total, ce spécialiste de la menace cyber au Moyen-Orient pour l’entreprise Eset dénombre une dizaine de groupes iraniens actifs.
A l’image du plus prolifique d’entre eux, baptisé « MuddyWater », ces acteurs, connus depuis plusieurs années, sont déjà expérimentés.
D’après un rapport annuel d’analyse de Microsoft, publié en novembre 2025 « le volume des activités cyber liées à l’État iranien (est resté) constamment élevé » sur l’année.
« Je les placerais derrière la Corée du Nord, la Russie et la Chine en termes de sophistication et de complexité, mais ils consacrent néanmoins des ressources importantes à l’espionnage et aux attaques informatiques », détaille-t-il.
Pour le moment, les capacités de ces groupes restent freinées par la coupure généralisée d’internet en Iran. Les opérateurs de satellites, qui peuvent constituer une alternative, offrent toutefois une connexion moins rapide.
« Il est peu probable que des techniques et des attaques complexes soient observées avant qu’ils ne rétablissent leur connexion internet classique », prévient Adam Burgher.
