Clément Barnier et Lara Aïdi – Analystes en cybersécurité

Clément Barnier est diplômé de l’Institut d’études politiques de Grenoble, de l’Université Internationale de Rabat, de l’École de Guerre Économique et de Sciences Po Paris. Il est rentré dans le domaine de la géopolitique du numérique après un mémoire sur les câbles sous-marins et travaille en tant que cyber threat analyst à Sésame IT.

Née aux États-Unis, formée à Washington Dc, diplômée à Paris, bénévole en Grèce,  Lara Aïdi est un véritable profil international, parlant couramment plus de cinq langues, dont l’anglais, le français, l’arabe, l’espagnol et le turc. Elle est diplômée d’un Master en Relations Internationales et Diplomatie à HEIP (Hautes Études Internationales et Politiques) et d’un Master 2 juridique en Prévention, Arbitrage et Résolution des conflits à Sorbonne.

Ils ont rédigé conjointement un rapport, qui est l’objet de cet entretien : Digital Frontline: Examining Cyber Warfare in the 2022 Iranian uprising.

Entretien a retouver dans le dossier Les cyber-espaces eurasiatiques : nouvelles vulnérabilités, cadres législatifs, luttes informationnelles

Pourriez vous nous présenter votre travail d’analystes de menaces cyber, en quoi il consiste et ce qui vous a amené aussi récemment à écrire un rapport sur le cyber-espace iranien ? Quelles sont les principales conclusions de ce rapport ?

Nous évoluons dans une cellule de CTI (cyber threat intelligence), soit le domaine du renseignement des menaces, au sein de Sésame IT, une start-up française qui a développé une solution de détection cyber certifiée par l’ANSSI.

Notre travail se décompose en deux phases. D’abord, il y a une collecte de l’information effectuée par nos équipes, assez classique, disons généraliste, concernant l’état de la menace et son évolution dans le panorama cybernétique mondial. Cette veille, en partie via l’OSINT (Open Source Intelligence), va par exemple des mutations d’un ransomware aux techniques développées par un nouveau groupe de hackers en passant par les tensions sino-américaines. Ensuite vient le traitement de ces informations, qui se présentent sous la forme d’articles de recherche, de rapports, de commentaires de forums, du deep web, etc.) qui est notre cœur de métier. Cela consiste à analyser les données collectées et stockées sur notre plateforme de threat intelligence afin de produire des scénarios d’attaque conçus sur mesure pour nos clients, ainsi que les règles de détection associées.

Outre les chemins d’accès utilisés par les attaquants, les noms des fichiers malveillants ou encore les adresses IP identifiées, une contextualisation géopolitique est de plus en plus appréciée pour comprendre la nature de la menace, les motivations de ses acteurs, et s’y préparer. Surtout dans un domaine qui compte beaucoup de profils à haute technicité, opérationnels, sans détenir nécessairement un bagage stratégique ou tactique. Or les dimensions multiples des menaces impliquent autant d’approches multiples. On pourrait donc résumer, pour faire une analogie grossière avec l’économie, que nous abordons aussi la question de la macrocyber… Voilà la valeur ajoutée de l’analyste !

Venant à l’origine tous les deux d’horizons étrangers à la cybersécurité (ndlr : le droit pour Lara, les sciences politiques pour Clément), nous avons rapidement pris conscience de l’ampleur de la menace iranienne dans le paysage cybernétique mondial, menant des opérations sophistiquées d’espionnage, de déstabilisation et de rançonnage sur le modèle russe et chinois. La récente attaque sur le site de Charlie Hebdo est par exemple l’œuvre du groupe iranien Neptunium. Nous avons suivi avec attention les événements qui ont fait suite au meurtre de Mahsa Amini par la police des mœurs de Téhéran, et, en l’absence de littérature à ce sujet, avons jugé pertinent d’en produire un rapport. Car derrière tout soulèvement citoyen, physique, sont désormais à l’œuvre des forces cybernétiques internationales organisées autour d’alliances, qui, si elles ne permettent pas à elles seules une révolution dans la rue, influent du reste sur son cours, dans un sens ou dans l’autre. 

Ce rapport (Digital Frontline: Examining Cyber Warfare in the 2022 Iranian uprising) met en balance l’évolution des capacités cyber du régime des Mollahs avec les stratégies hybrides mises en place par ses opposants pour contourner les censures et la répression numériques. En dressant l’état des lieux de l’actuelle guerre de l’information, de cyberespionnage et de piratage en Iran, nous avions la volonté de comprendre le rôle clé des réseaux sociaux mais aussi celui de la communauté hacktiviste dans le soulèvement en cours. Nous avons analysé à cette fin le comportement des premiers groupes impliqués dans l’opération #OpIran lancée par Anonymous, les types d’attaques programmées et les motivations des acteurs. Enfin, nous avons questionné le cas iranien dans un phénomène plus large, qui est la normalisation progressive d’une forme d’autoritarisme digital.

Comment a évolué, dans les grandes lignes, la politique de l’Etat iranien vis-à-vis de l’utilisation de l’internet par les forces de contestations citoyennes depuis le début des années 90? Quelles sont ces différentes formes de contestation depuis plusieurs décennies et comment ont-elles évolué dans leur appréhension de l’utilisation d’internet pour soutenir leurs revendications? De quelle manière le pouvoir utilise-t-il le cyber sur le plan intérieur pour réprimer toute contestation ?

Lorsque Internet est déployé en 1993 durant le mandat du président H. Rafsandjani, l’Iran fait figure de précurseur dans la zone du Proche-Orient, dans le sillage d’Israël (1990). Le web est alors perçu positivement par les autorités, à la fois sur l’aspect économique et culturel en tant que moyen de diffusion des préceptes coraniques. Toutefois comme pour le livre et la révolution de l’imprimerie au XVe siècle, l’accessibilité aux informations, aux théories nouvelles, au savoir dans sa globalité déstabilise en fin de compte davantage un régime de nature autoritaire qu’elle ne le sert. L’essence même d’Internet, espace en constante expansion, en fait un instrument difficile, sinon impossible à maîtriser. Cela s’avère d’autant plus vérifiable avec l’impact des réseaux sociaux. En 2009, à la suite d’une accusation de fraude lors de l’élection présidentielle en faveur du conservateur M. Ahmadinejad, le soulèvement populaire est baptisé « Révolution Twitter » par les médias en raison du rôle moteur de l’application dans la coordination des manifestants et la diffusion d’images des violences gouvernementales. On constate en somme un changement radical de paradigme au cours des décennies 1990 – 2010 dans la perception d’Internet par le pouvoir iranien, qui va adapter sa stratégie à ce qui est devenu pour lui une menace existentielle.

D’après un sondage conduit par l’Iranian Students Polling Agency (ISPA), 73,6 % de la population iranienne utilise des réseaux sociaux ou des applications de messagerie en 2021, parmi lesquelles Whatsapp (64,1%), Instagram (45,3%) et Télégram (36,3 %) figurent en tête. Les citoyens parviennent à contourner les interdictions successivement mises en place grâce à des VPN (virtual private network) ou des Proxies. L’arsenal cyber du régime, au contraire, s’est structuré, renforcé au fil des contestations. Création de l’Iranian cyber police (FATA) en 2009… Création de l’Iranian cyber Army en 2010… Surveillance accrue du web et des médias sociaux… Censure d’Internet dans les zones de tensions… Un logiciel espion en particulier, EyeSpy, est préoccupant en ce qu’il est installé secrètement dans le système interne de certains VPN par les services du gouvernement, qui ont ensuite accès aux données de l’utilisateur (localisation, sites visités, contacts, messageries privées, etc.).

L’Iranian cyber Army n’est pas officiellement rattachée au pouvoir. Comment l’expliquez-vous ?

L’Iranian cyber Army est un groupe de hackers connu pour cibler des sites gouvernementaux et des entreprises occidentales dans le secteur des technologies de l’information, actif depuis 2009. S’il n’est certes pas affilié officiellement au régime, ses membres se sont néanmoins engagés à être loyaux envers le guide suprême, ce qui en fait une arme non conventionnelle utile pour l’IRGC (Islamic Revolutionary Guard Corps). L’imaginaire collectif associe souvent les groupes de hackers à des sortes de pirates modernes. Or il s’agirait ici plutôt de corsaires autorisés par un État à piller les ressources d’un État tiers.

L’Iran est-il dorénavant équipé pour faire face aux cybermenaces extérieures? On peut songer à l’utilisation du ver informatique Stuxnet par les USA et Israël pour retarder le programme nucléaire iranien dans les années 2010. Quelles sont ses vulnérabilités? Et à l’inverse, peut-il être considéré comme un acteur émergent en matière d’attaques cyber ou déjà un acteur confirmé en la matière?

Il faut bien comprendre une chose avant de traiter cette question : pour paraphraser  Clausewitz, la cybernétique est en quelque sorte devenue la continuation de la politique, ou de la guerre d’ailleurs, par d’autres moyens… Le numérique, nouveau champ de bataille du concert des nations où l’on défend aussi bien ses actifs immatériels qu’on attaque ceux d’un ennemi, voire d’un concurrent, est le reflet des équilibres géopolitiques. Une différence considérable est toutefois à noter : le manque de régulation du cyberespace, la complexe coordination des autorités internationales en la matière, ou encore la difficulté d’identifier le responsable  d’une intrusion dans un système sont autant de caractéristiques qui incitent à des stratégies offensives des acteurs étatiques. Aussi, l’Iran est menacé par ceux qu’il attaque, qu’il nomme la coalition sioniste-occidentale (USA, Israël, Royaume-Uni, France, etc.), tandis que ses alliés (Chine, Russie) vont malgré tout mener des opérations de vols de données ou de cyberespionnage à ses dépens, selon leur intérêt. Cet état sauvage sans frontières physiques, pour reprendre la terminologie hobbesienne, renforce un nouveau mode de conflictualité où les alliances sont plus fragiles et les antagonismes davantage assumés.

Si l’Iran fait désormais figure d’acteur cyber majeur, capable de compromettre des architectures dites complexes sur un sol étranger grâce à une expertise en ingénierie sociale, son isolement sur la scène internationale, et donc son exposition, met en exergue ses vulnérabilités numériques. Son écosystème académique souffre particulièrement de ces carences en matière de collaboration internationale, forçant les groupes étatiques à cibler des institutions universitaires pour en extraire des données et faire avancer l’état de la recherche. En 2009, la NSA, la CIA et les services de renseignement israéliens conçoivent à titre d’exemple un ver informatique, Stuxnet, afin de neutraliser le programme nucléaire iranien. Les installations en théorie les mieux protégées du régime des mollahs sont lourdement endommagées. Cette opération réussie parmi les plus médiatisées a incité le pouvoir à mettre en place une politique plus stricte en matière de cyberdéfense, en créant notamment des organismes dédiés à la protection des infrastructures vitales. Cependant ses capacités défensives sont encore nettement inférieures à ses capacités offensives, ce qui est logique compte tenu de la stratégie agressive appliquée par Téhéran.

Qu’est-ce qui caractérise la cyber-guerre entre Tel-Aviv et Téhéran?  On qualifie parfois l’Ukraine de «laboratoire cyber» de la Russie ; l’Iran a-t-il été celui des États-Unis et  de leurs alliés comme Israël?

La particularité du cyberconflit entre Tel-Aviv et Téhéran, « ennemis jurés », selon l’expression consacrée, est qu’il se déroule majoritairement sur les champs du militaire et du renseignement. C’est là une profonde différence avec le cyberconflit sino-américain, par exemple, qui comporte de plus une forte dimension industrielle. Les tensions irano-israéliennes trouvent de telle sorte dans la cyberguerre, larvée et clandestine, un moyen d’expression pour l’heure préféré à un affrontement armé. Chaque camp vise à perturber les infrastructures critiques de l’autre (centrales hydrauliques, opérateurs de télécommunication, stations de forage, etc.), ou à mener sur la population des campagnes de désinformation.

A bien des égards, l’Iran pourrait être qualifié de « laboratoire cyber » des États-Unis comme l’Ukraine l’a été depuis 2014, et continue de l’être pour la Russie. La nature hostile des relations entre Téhéran et Washington, l’éloignement géographique de ces deux États, le déséquilibre dans les arsenaux militaires et les poussées démocratiques au sein du régime des Mollahs créent le terreau d’une guerre ouverte, presque assumée, dans le cyberespace. Or, si la force de frappe iranienne en la matière a été démontrée, l’hyperpuissance américaine poursuit sa logique hégémoniste, seulement comparable à celle de la Chine. Les multiples campagnes menées sur les infrastructures iraniennes par les États-Unis et leur pivot dans la région, Israël, confortent la théorie d’un laboratoire cyber à grande échelle.

Les groupes de cyber activistes en Iran sont-ils en mesure d’être un soutien de poids au mouvement de contestation actuel ? On peut penser au groupe Edalat-e Ali qui a réussi à interrompre un discours du président Ebrahim Raïssi début février (pour appeler les Iraniens à retirer leur argent des banques «corrompues» du régime et à descendre dans la rue) ou mi-octobre (interruption d’un discours de l’ayatollah Ali Khamenei avec un photomontage de ce dernier, le corps entouré de flammes et un viseur sur son visage).

Il existe une communauté importante en Iran de ce que l’on nomme des hacktivistes (groupes ou individus motivés par des causes idéologiques, telles que la défense des libertés fondamentales, la transparence démocratique, ou au contraire l’autoritarisme, etc.). Le mouvement contestataire peut également compter sur une diaspora solidement implantée à l’international (Paris, Londres, Los Angeles, etc.), qui a eu un rôle prépondérant dans la diffusion des informations suite à l’arrestation et au décès de Mahsa Amini, et sa couverture médiatique. La répression à l’égard de nombreux hacktivistes sur le sol iranien a cependant limité leur impact récent. De nombreux messages d’appels à l’aide ont été passés à la communauté internationale sur des groupes Télégram et Signal depuis des prisons iraniennes. Ce à quoi les hacktivistes occidentaux ont répondu en déclenchant l’opération #OpIran, le 20 septembre 2022, sous l’initiative du collectif Anonymous. Les groupes SpiderChat et YourAnonSpider sont les premiers à avoir attaqué des sites gouvernementaux, suivis entre autres par DDOSEmpire, Ghostec, Atlas Intelligence Group et Black Reward, qui s’est illustré pour avoir divulgué des informations confidentiel-défense de l’armée iranienne.

Le fait le plus marquant de la cyberguerre qui sévit actuellement en Iran est sans doute le piratage de la chaîne de télévision IRIB (Islamic Republic of Iran Broadcasting) par le groupe Edalat-e Ali. Ce type d’action a bien sûr pour but de marquer l’opinion publique et relève de la guerre de l’information. On ne sait pas comment ce piratage a pu être effectué, mais on suppose un soutien logistique important de la part d’un tiers (États-Unis, Israël ?), car compromettre de telles infrastructures est d’ordinaire l’apanage de groupes étatiques disposant de considérables moyens techniques et humains.

La contestation actuelle a pris le mot d’ordre « Femme, Vie, Liberté! » mais il s’agrège aussi de nombreuses revendications ethniques dans le pays. Y-a-t-il des groupes de hackers identifiés et actifs de ces mouvements? Et d’éventuelles formes de coopération entre eux?

Le slogan « Femme, Vie, Liberté » aurait été scandé pour la première fois aux abords du centre hospitalier de Téhéran où avait été placée Mahsa Amini en soins intensifs. Filmé par des téléphones portables, il a immédiatement connu une large diffusion par l’intermédiaire de médias indépendants (1500tasvir, Iran Wire, etc.) et les conversations privées des internautes pour devenir l’hymne des protestations le plus populaire avec  « Mort au dictateur ».

Si toutes les provinces ont participé au soulèvement contre les mollahs, les heurts les plus violents ont été observés au nord-ouest dans les zones kurdes, indépendantistes, d’où était originaire Mahsa Amini. Sa mort a donc agi comme catalyseur au sein d’une communauté naturellement hostile au régime iranien. Ces données géopolitiques sont d’ailleurs traduites dans le champ cybernétique, bien qu’à moindre échelle.

Nous avons en effet identifié l’existence d’au moins un groupe de hacktivistes se réclamant d’une mouvance kurde, Al Tahrea, impliqué en août 2022 dans une attaque sur les infrastructures ukrainiennes pour le compte de la Russie. Un phénomène est d’ailleurs à prendre en considération à ce propos. La répression accrue envers les kurdes iraniens a eu pour conséquence un départ de nombreux jeunes vers la province d’Erbil, en Irak. Or la mise en relation directe de ces communautés pourrait accoucher à terme de nouveaux groupes cyber affiliés au PKK (Parti des travailleurs du Kurdistan), ou indépendants.

Y-a-t-il des tentatives similaires à celles de la Russie et de son Runet de se couper de l’internet mondial? En 2019, le gouvernement a ordonné un blocage complet, coupant l’Iran du reste du monde pendant une semaine et pendant laquelle seuls les services numériques nationaux fonctionnaient, créant un intranet national…Si oui, quelles seraient ses chances d’aboutir?

La volonté du régime iranien de couper le pays de l’Internet mondial n’est pas une chimère. Le programme a même un nom : NIN (National Internet Network), et des financements étatiques depuis 2011. L’ancien président H. Rohani (2013 – 2021) a lancé une fatwa pour imposer cet « Internet Halal », estimant que la « 3G viole la charia ». Faute de pouvoir appliquer ce projet de contrôle quasi absolu sur un intranet, le régime a pour l’heure encore recours aux vieilles méthodes de la censure. Au commencement des manifestations de 2019 et 2022, la connectivité iranienne a ainsi enregistré une baisse de trafic de plus de 90% sur le territoire pendant plusieurs jours en 2019, et plusieurs heures en 2022 (Netblocks).

En théorie, le scénario d’un Intranet sous contrôle du régime est envisageable étant donné la mainmise du pouvoir sur le secteur des télécommunications. En pratique, le degré d’avancement technologique des infrastructures pour supporter l’ensemble des requêtes est sujet à caution. D’une part, l’exécution d’un tel programme ne manquerait pas de faire émerger un réseau d’antennes, de câbles et d’opérateurs clandestins, motivés pour des raisons idéologiques ou financières. D’autre part, on imagine mal comment le pouvoir pourrait régler la question des VPN et Proxies, déjà massivement utilisés par les internautes afin de contourner la censure, pour lesquels la demande a d’ailleurs augmenté de plus de 3000% sur l’année 2022. Enfin, l’intérêt d’autres puissances pourrait être d’assurer cet accès à l’Internet mondial, et donc à une certaine information. C’était l’un des enjeux de la coupure de septembre 2022. La Maison Blanche a alors donné son aval à l’entreprise Starlinks pour déployer son réseau de satellites comme elle l’a fait en Ukraine. La connexion reste extrêmement lente en l’état, avec moins de 100 satellites actifs en Iran, mais possible.

Le tout récent rapprochement entre l’Iran et l’Arabie saoudite sous égide de la Chine vous semble-t-il augurer de nouvelles coopérations entre ces pays dans le domaine cyber? 

La détente entre l’Arabie saoudite et l’Iran, marquée par le rétablissement de leurs relations diplomatiques, est extrêmement structurante pour le paysage géopolitique de la région, mais semble sans lourdes conséquences dans le domaine cyber. L’accord de coopération signé à Pékin est d’abord économique. On peut certes s’attendre à une baisse du soutien iranien aux Houthis yéménites, au Hezbollah ou aux milices chiites irakiennes en guise de bonne volonté diplomatique de la part de Téhéran. Néanmoins les différends après une si longue période d’hostilité mutuelle paraissent trop profonds pour envisager à moyen terme une coopération étroite, en particulier dans les domaines du renseignement militaire et de la cyber. Parmi de nombreux incidents de cyberespionnage présumés, en 2012, le géant pétrolier saoudien Aramco avait été piraté par « Cutting Sword of Justice », un groupe soupçonné d’être rattaché aux gardiens de la révolution iranienne. 

Ces nouveaux équilibres couplés à l’isolement d’Israël amorcent en revanche une très probable hausse des campagnes cyber dans la zone, conduites d’un côté par Tel-Aviv avec l’appui de Washington, de l’autre par le bloc Téhéran-Pékin contre l’ennemi occidental.

Auriez-vous des choses à ajouter ?

Nous souhaitons mettre en garde la communauté de chercheurs. Récemment, plusieurs rapports ont été publiés afin de détailler les opérations de phishing en cours ciblant des journalistes, des activistes, des professeurs d’université ou des doctorants qui abordent la question iranienne. Quiconque bénéficie d’une visibilité, même relative, est une cible potentielle (piratages de données d’études et personnelles, manipulations, etc.). Il ne s’agit pas de devenir paranoïaque mais d’avoir conscience d’un risque réel. Le groupe Charming Kitten, aka APT 42, aurait été missionné par Téhéran pour ce genre d’opérations. En décembre 2022, trois victimes ont été formellement identifiées. Les hackers ont obtenu l’accès à leurs emails, à leurs disques de stockage dans le cloud, à leurs calendriers et à leurs contacts. Ils ont également effectué un « Google Takeout » en utilisant un outil qui exporte les données des services de base et des services supplémentaires d’un compte Google.

En termes de modus operandi, les attaquants envoient un lien malveillant (PDF, URL, etc.) via Whatsapp ou Gmail qui déclenche le téléchargement d’un malware après son ouverture. Puisque la première vulnérabilité en cybersécurité est l’humain, veillez à toujours rester vigilants, à changer régulièrement vos mots de passe, et d’ailleurs à s’assurer qu’ils ont un niveau de sécurité suffisant, avant de mettre en place la double authentification.