Une cyberattaque d’ampleur a paralysé des dizaines de milliers de stations services en Iran. Derrière l’attaque, de nombreuses hypothèses circulent sur l’origine de ces pirates.

Une cyberattaque a perturbé le fonctionnement des stations-service dans tout l’Iran en début de semaine. Le ministre iranien du pétrole a déclaré à la télévision iranienne le 18 décembre 2023 qu’une « interférence extérieure » a mis hors service environ 70 % des stations-service du pays. 1 650 stations étaient pleinement opérationnelles sur environ 33 000, tandis que les autres étaient obligées de faire fonctionner leurs pompes manuellement. Les autorités iraniennes ont imputé cette cyberattaque à des acteurs israéliens et américains.

Sur Telegram et X, le groupe Predatory Sparrow (en persan Gonjeshke Darande) a revendiqué l’attaque. « Comme lors de nos opérations précédentes, cette cyberattaque a été menée de manière contrôlée tout en prenant des mesures pour limiter les dommages potentiels aux services d’urgence », peut-on lire dans le message posté par les hackers.

Contacté par Numerama, Maxime Arquilliere, analyste de la menace pour Sekoia, nous rappelle que ce collectif « a déjà attaqué l’Iran en juin 2022, dans une cyberattaque spectaculaire contre trois usines métallurgiques du pays. Des vidéos d’explosions et d’incendies avaient été diffusées par ce groupe. »

Les relations entre Israël et l’Iran sont particulièrement tendues dans cette région, Téhéran apporte un soutien militaire au Hamas, l’organisation armée palestinienne (considérée comme terroriste dans de nombreux pays). Les deux pays mènent souvent des opérations cyber l’un contre l’autre. « L’Iran conduit beaucoup d’attaques, mais en subit régulièrement aussi. On a moins de vision, puisque c’est un régime assez opaque sur ce sujet comme peut l’être la Chine », ajoute l’expert en cyber.

Que sait-on des hackers à l’origine de la cyberattaque ?

Dans le milieu cyber, une autre hypothèse circule autour de l’origine de ces hackers. Israël appuierait bien les attaques, mais les pirates, eux, pourraient aussi être d’origine iranienne. Des organisations de dissidents iraniens continuent d’exister à l’étranger, l’une des plus célèbres étant « les moudjahidines du peuple iranien ». Quels indices permettraient de lier ces cyberattaques à des opposants au régime ? « D’abord, les revendications sont toujours nuancées : les hackers rappellent à chaque fois qu’ils s’attaquent au pouvoir iranien, mais qu’ils ne veulent causer aucun tort aux civils », explique « Flash », un expert anonyme.

L’autre piste serait une cyberattaque massive de l’Iran contre les services du gouvernement de l’Albanie en septembre 2022, quelques mois après le sabotage de l’industrie métallurgique iranienne. Pourquoi Téhéran chercherait à cibler un pays du sud des Balkans ? Parce qu’il abrite une grande partie des dissidents iraniens, notamment, les fameux les moudjahidines du peuple iranien.

L’attaque est revendiquée par « Homeland Security », un groupe pro-iranien qui utilise comme logo un aigle s’attaquant à un oiseau du jeu Angry Birds. C’est aussi le logo utilisé par… les Predatory Sparrow, les hackers à l’origine du blocage des stations services.

Les logos des Predatory Sparrow (à gauche) et du groupe pro-iranien Homeland security « Homeland Security » // Source : Numerama
Les logos des Predatory Sparrow (à gauche) et du groupe pro-iranien Homeland security « Homeland Security » (à droite). // Source : Numerama

On ne peut affirmer avec certitude cette hypothèse. « Ces hackers ajoutent plusieurs couches d’avatar pour brouiller les pistes », précise « Flash ». Ces pirates pourraient être des Israéliens, tout comme des dissidents iraniens appuyés par Tsahal dans leurs opérations contre le régime iranien. Creuser l’origine d’une attaque, c’est aussi déchiffrer des relations géopolitiques.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !