Cybermenace iranienne : pourquoi un cessez-le-feu ne désarme jamais le cyberespace

Article de suivi de l’interview accordee par ZENDATA a la RTS (Pole enquete). Lien vers l’article RTS.

A la suite de notre intervention sur la RTS au sujet du groupe Homeland Justice, nous souhaitons prolonger l’analyse et l’inscrire dans une lecture plus large de la menace cyber iranienne, car un cessez-le-feu ou un accord de paix avec l’Iran n’a quasiment aucun effet sur le cyberespace.

Le cyberespace ne connait pas de cessez-le-feu

Qu’il s’agisse de mener une operation offensive et destructrice, comme celle qui a frappe l’americain Stryker, de conduire un hack-and-leak destine a humilier une cible, a l’image de la publication des courriels prives du directeur du FBI Kash Patel, d’espionner des opposants, comme dans la campagne de surveillance visant des journalistes et dissidents iraniens, ou de se prepositionner discretement dans une infrastructure en vue de futures operations, a la maniere des courtiers d’acces qui maintiennent un pied dans les reseaux pendant des mois, les acteurs etatiques iraniens restent extremement actifs en toutes circonstances.

Interroge par la RTS sur l’impact d’eventuelles negociations de paix entre Teheran et Washington, Homeland Justice a ete sans ambiguite : ses operations visant le MEK et ses partisans ont toujours constitue une priorite et continueront de l’etre. Autrement dit, la dynamique diplomatique et la dynamique cyber evoluent sur deux plans distincts. Le cyber sert precisement a maintenir une pression continue, sous le seuil du conflit ouvert, la ou la diplomatie cherche a apaiser.

L’Iran, devenu une puissance cyber

Il faut mesurer le chemin parcouru. CrowdStrike, qui attribue a chaque categorie d’adversaire un nom de code animalier (l’ours pour la Russie, le panda pour la Chine), a historiquement designe l’Iran par le suffixe « Kitten », le chaton. Le choix du diminutif, chaton plutot que chat, a souvent ete lu comme un clin d’oeil au manque de maturite des capacites iraniennes a leurs debuts.

C’etait il y a plus d’une decennie. Depuis, l’Iran s’est hisse au rang des puissances cyber mondiales. Ses operations combinent desormais destruction de donnees, guerre de l’information, espionnage de precision et prepositionnement strategique, avec une discipline operationnelle et une tolerance au risque qui en font un adversaire de premier plan.

Deux maisons, une multitude de masques

L’appareil cyber offensif iranien repose principalement sur deux poles etatiques rivaux.

Le premier opere pour le Corps des Gardiens de la Revolution islamique (IRGC), la branche militaire et ideologique du regime, qui dispose de son propre organe de renseignement. Le second opere pour le ministere du Renseignement et de la Securite (MOIS), le service de renseignement civil rattache a l’executif. Attention a une confusion frequente : le MOIS n’est pas le ministere de l’Interieur, c’est un ministere a part entiere, dedie au renseignement, dont la mission inclut le contre-espionnage et surtout la surveillance et la neutralisation de l’opposition iranienne a l’etranger.

Chacune de ces unites opere ensuite derriere un ou plusieurs personas specifiques, adaptes a ses missions. Le modele dominant consiste a se presenter comme un collectif hacktiviste independant, en pretendant souvent venir d’un autre pays que l’Iran. L’industrie cyber les qualifie de « faketivists » plutot que de « hacktivists », des operations psychologiques deguisees en activisme. L’objectif de cette mise en scene est double : nier toute responsabilite etatique, et compliquer toute riposte, car une cyberattaque non formellement attribuee a un gouvernement n’ouvre pas le droit a une reponse militaire. L’Iran n’est d’ailleurs pas le seul a recourir a ce procede : on l’observe massivement chez les acteurs russes egalement.

Homeland Justice, le bras anti-MEK du MOIS

Dans notre interview avec la RTS, nous nous sommes concentres sur Homeland Justice, un persona qui s’en prend specifiquement au MEK (les Moudjahidine-e Khalq, ou Moudjahidine du peuple), principal mouvement d’opposition iranien en exil, refugie en Albanie depuis 2013 dans le camp d’Ashraf-3, pres de Durres, ou vivent environ 3 000 membres.

Ce persona fait partie de l’ecosysteme du MOIS, au meme titre que les personas Handala Hack et Karma / Karmabelow80. L’affidavit du departement americain de la Justice est explicite sur ce point : ces facades sont « operees par les memes individus », partagent leurs sites de fuite, des plages d’adresses IP iraniennes et un mode operatoire commun. Les chercheurs de Check Point regroupent l’acteur destructeur sous le nom de Void Manticore, Microsoft sous Storm-0842. Un troisieme persona, Ababil of Minab, s’inscrit dans le meme ecosysteme offensif iranien, avec un ciblage elargi (transports de Los Angeles, infrastructures critiques).

Bien que Homeland Justice n’ait a ce jour ete actif que contre l’Albanie, il l’a ete de facon redoutablement efficace : attaque destructrice de 2022 (rancongiciel ROADSWEEP et wipers, services publics paralyses, systemes frontaliers touches), Parlement et operateurs telecoms en 2023, Institut national des statistiques en 2024, services municipaux de Tirana en 2025, a nouveau le Parlement en 2026. Cette efficacite s’est accompagnee de nombreuses exagerations sur l’ampleur reelle des degats, par exemple sur les volumes de donnees pretendument effaces ou voles. Cette inflation rhetorique a un reel effet psychologique et est un objectif en soi.

Ce groupe repond aux objectifs du MOIS iranien, et rien n’empecherait ce dernier, a travers d’autres personas et d’autres unites, de cibler la Suisse ou tout autre pays percu comme soutenant le MEK, afin de le dissuader de le faire. Car, bien que Homeland Justice se soit concentre sur l’Albanie, les autres personas ne se limitent pas a ce pays et leurs capacites se sont montrees devastatrices.

Pourquoi la Suisse est concernee

La menace n’est pas theorique pour notre pays, et ce pour plusieurs raisons convergentes.

D’abord, le Service de renseignement de la Confederation (SRC) reconnait que des cyberacteurs etatiques iraniens prennent egalement la Suisse pour cible, et juge probable une intensification de la surveillance, par Teheran, des membres de l’opposition iranienne residant en Suisse. Or les sympathisants du MEK manifestent regulierement sur la place des Nations a Geneve. Le profil de ciblage de Homeland Justice, anti-MEK par construction, recoupe donc directement une realite genevoise.

Ensuite, interroge par la RTS sur les entites suisses qui pourraient etre concernees, Homeland Justice a evoque des banques et des reseaux financiers, sans autre precision. Cette designation reste vague et doit etre traitee comme une revendication non etayee (surtout venant d’un groupe qui utilise la peur psychologique comme une arme), mais elle indique une intention declaree contre la place financiere.

Enfin, le risque est aussi indirect, par la chaine d’approvisionnement. Stryker, victime de Handala en mars 2026, fournit du materiel medical specialise a plusieurs hopitaux suisses, dont le Reseau hospitalier neuchatelois. Une attaque visant un fournisseur etranger peut donc avoir des repercussions operationnelles en Suisse, meme sans cible suisse directe. La continuite de cette activite est patente : a la mi-juin 2026, Handala a encore revendique le piratage de drones et l’infiltration de systemes d’approvisionnement en eau, preuve que le tempo operationnel ne faiblit pas.

Comment ils operent : les TTPs observes

Le mode operatoire de cet ecosysteme est davantage opportuniste et persistant que sophistique. Les techniques recurrentes, cartographiees sur le referentiel MITRE ATT&CK, sont les suivantes.

  • Acces initial. Exploitation d’applications exposees sur Internet : VPN SSL sans authentification multifacteur, vulnerabilites non corrigees (l’attaque albanaise de 2022 a exploite la faille SharePoint CVE-2019-0604), puis depot de web shells.
  • Persistance de longue duree. Dans le cas albanais de 2022, l’acces initial avait ete obtenu environ quatorze mois avant l’attaque destructrice. Le prepositionnement et la patience sont caracteristiques.
  • Mouvement lateral. Utilisation de protocoles legitimes (RDP, SMB, FTP) et de comptes de service mal configures.
  • Collecte d’identifiants. Attaques par force brute et par password spray, parfois sur plusieurs heures.
  • Abus d’outils et de consoles legitimes. C’est la tendance la plus preoccupante : prise de controle de la console Microsoft Intune (MDM) pour effacer a distance des dizaines de milliers d’appareils (cas Stryker), suppression de machines virtuelles via les hyperviseurs VMware ESXi et vCenter, effacement des chaines de sauvegarde.
  • Destruction. Deploiement de rancongiciels (ROADSWEEP) et de wipers (No-Justice / LowEraser, variantes de ZeroCleare), suppression manuelle de fichiers et de partages.
  • Impact et influence. Defiguration de sites, attaques par deni de service, hack-and-leak, revendications et amplification via des canaux Telegram.

La lecon defensive est claire : le facteur determinant n’est pas la sophistication de l’attaquant, mais l’hygiene de securite du defenseur. Les intrusions reussies ont systematiquement exploite des negligences evitables.

Nos recommandations

Face a un adversaire opportuniste, persistant et tourne vers la destruction, les priorites defensives sont les suivantes.

  • Generaliser l’authentification multifacteur (MFA), en priorite sur les VPN, les acces distants et l’ensemble des comptes a privileges.
  • Corriger rapidement les systemes exposes sur Internet et reduire la surface d’attaque (VPN, passerelles, applications web, serveurs de fichiers).
  • Mettre en place des sauvegardes immuables et hors ligne, testees regulierement par des restaurations reelles. C’est la principale parade contre les wipers et la destruction d’infrastructure virtualisee.
  • Proteger en priorite les consoles d’administration cloud et de virtualisation (Intune, vCenter, ESXi) : MFA renforcee, gestion des acces a privileges (PAM), comptes d’administration dedies et separes, journalisation des actions sensibles.
  • Segmenter le reseau pour limiter le mouvement lateral et isoler les actifs critiques.
  • Surveiller et reprendre le controle des comptes a privileges, en reinitialisant systematiquement les identifiants apres tout incident, une faille recurrente dans les cas albanais.
  • Detecter le detournement d’outils legitimes (techniques de type living off the land) plutot que de se reposer uniquement sur la detection de logiciels malveillants connus.
  • Disposer d’un plan de reponse a incident eprouve, et l’entrainer par des exercices de crise reguliers.
  • Integrer le renseignement sur les menaces (CTI) et la surveillance du dark web pour anticiper le ciblage et detecter les fuites.

Pour les organisations directement concernees, entites liees au MEK, place financiere, fournisseurs de services a des cibles potentielles, une modelisation de menace specifique et une vigilance accrue s’imposent.

ZENDATA interview RTS

Restez informé avec nous !

Abonnez-vous à notre newsletter mensuelle sur la cybersécurité pour suivre nos actualités et les tendances du secteur.

Blog

Découvrez nos analyses, articles exclusifs, événements à venir et les dernières actualités sur les cybermenaces.

Une simple lettre et Mythos s’éteint : pourquoi l’IA souveraine n’est plus une option

  • Uncategorized

Payer ou ne pas payer : l’éthique de la rançon face au ransomware – Interview dans Le Temps

  • Article, Entretien, Ransomware, Suisse

G7 Évian 2026 : Les Cyberrisques et nos Recommandations

  • Cyber Espionnage, Cybersécurité Militaire, Géopolitique, Suisse

Tous nos articles