L’Iran espionnerait Israël et l’Arabie Saoudite par des cyberattaques d’envergure
Rechercher

L’Iran espionnerait Israël et l’Arabie Saoudite par des cyberattaques d’envergure

Selon une firme de sécurité, 500 cibles ont été piratées dans le monde, dont des ex-généraux israéliens, un ministre du Moyen-Orient et l'ambassade du Qatar au Royaume-Uni

Un pirate informatique. Illustration. (Crédit : Shutterstock)
Un pirate informatique. Illustration. (Crédit : Shutterstock)

La société israélienne de cybersécurité ClearSky affirme qu’elle a mis à jour une vague continue de cyber-attaques en provenance d’Iran visant des cibles en Israël et au Moyen-Orient. L’objectif est « l’espionnage ou d’autres intérêts nationaux », affirme la firme.

Les pirates ont utilisé des techniques telles que le phishing ciblé – grâce auquels les pirates rassemblent les données d’identification de l’utilisateur à l’aide de fausses pages Web qui ressemblent à celles de vrais sites à bonne réputation – pour pirater 40 cibles en Israël et 500 dans le monde entier.

En Israël, les cibles ont inclus des généraux à la retraite, des employés des cabinets de conseil en matière de sécurité et des chercheurs dans les universités.

Environ 44 % des personnes ciblées sont en Arabie Saoudite, 14 % en Israël et 11 % au Yémen.

Les responsables de la société affirment que parmi les cibles en dehors d’Israël il y a le ministre des Finances d’un pays du Moyen-Orient, l’ambassade du Qatar en Grande-Bretagne, des journalistes et des militants des droits de l’Homme, comme le rapporte la radio israélienne.

« La campagne d’offensive comprend plusieurs attaques différentes dans le but de prendre en charge la cible de l’ordinateur ou d’accéder à son compte de messagerie. Nous estimons que cet accès est utilisé pour l’espionnage ou d’autres intérêts nationaux », a déclaré ClearSky.

Un graphique publié par ClearSky montre la répartition des cibles des cyber-attaques. (Capture écran : www.clearksysec.com)
Un graphique publié par ClearSky montre la répartition des cibles des cyber-attaques. (Capture écran : www.clearksysec.com)

Au cours des attaques, qui, d’après les responsables de ClearSky, remontent à au moins juillet 2014 mais qui pourraient dater de 2011, les pirates ont envoyé des logiciels malveillants comme les pièces jointes et les techniques utilisées d’ingénierie sociale pour pirater les lignes téléphoniques, comptes de messagerie et comptes Facebook.

Les responsables de ClearSky ont déclaré que la cyber-attaque actuelle est la plus forte qu’ils ont rencontrée en termes de durée et de persistance.

« Les cibles sont, la plupart du temps, issues des champs suivants : les chercheurs et les praticiens universitaires dans les domaines de la lutte contre le terrorisme, la diplomatie, les relations internationales, l’Iran et le Moyen-Orient, et d’autres domaines, tels que la physique,  la sécurité et défense, les journalistes et les militants des droits de l’homme », peut-on lire dans le rapport.

Selon les auteurs, « plusieurs caractéristiques des attaques nous ont conduit à la conclusion qu’un iranien hostile est le coupable probable ».

Ils disent supposer, sans disposer de preuve directe, que la campagne de piratage est prise en charge par le régime iranien ou exécutée par le régime lui-même. « Le contexte des attaques et les histoires de couverture : tout tourne autour de l’Iran », relève le rapport.

« Les assaillants parlent et écrivent en persan iranien natif et font des erreurs caractéristique de persanophones. Dans l’un des comptes piratés, lors de la récupération, la langue de l’interface avait été modifiée vers le Perse. »

En outre, les cibles et les victimes correspondent aux intérêts de l’Iran. Par ailleurs, plutôt que de voler de l’argent ou d’effectuer des high key « de cyber-attaques terroristes … les attaquants se contentent de voler des informations et d’utiliser l’accès à des ordinateurs pour d’autres attaques : espionnage, vol de propriété intellectuelle, etc. ».

La firme a détaillé les conclusions dans un nouveau rapport intitulé Thamar Reservoir, d’après le Dr. Thamar  E. Gindin, expert en linguistique et en Iran pré-islamique, qui est aussi conférencier et chercheur au Centre Ezri pour l’Iran et le Golfe Persique de l’Université de Haïfa. Dr Gindin, qui était l’une des cibles de la cyber-attaque, participe actuellement à l’enquête de ClearSky.

Le rapport intervient quelques jours après la révélation que trois hôtels européens qui ont accueilli des pourparlers entre l’Iran et les puissances mondiales sur la limitation du programme nucléaire iranien auraient été ciblés par le virus Duqu, un virus informatique qui serait lié à Israël.

Le virus Duqu serait lié à Stuxnet, le ver informatique qui a mis à terre le programme nucléaire de l’Iran pendant plusieurs mois ou années en affectant certains des systèmes et des centrifugeuses informatiques de l’Iran utilisés pour enrichir de l’uranium après les révélations de 2010.

Le New York Times a rapporté que Stuxnet était un projet conjoint d’Israël et des États-Unis.

En plus des trois hôtels qui ont été piratés, le virus a été trouvé dans des ordinateurs d’un site de commémoration du 70e anniversaire de la libération du camp d’Auschwitz, auquel avaient assisté plusieurs dirigeants du monde.

Les responsables israéliens ont refusé de commenter le rapport. Israël réfute les accusations d’espionnage sur ses alliés.

David Shamah et JTA ont contribué à ce rapport.

En savoir plus sur :
C’est vous qui le dites...