Un important groupe de cybersécurité a enquêté sur les opérations menées contre des sites web gouvernementaux en Iran et a conclu qu’en raison de la structure de l’Internet iranien et de sa séparation de l’Internet mondial, les opérations menées contre des sites web gouvernementaux, notamment ceux de la radio et de la télévision d’État le 27 janvier 2022, du ministère des affaires étrangères le 7 mai 2023 et du bureau du président le 29 mai 2023, ont été menées par infiltration et n’ont pas pu être le résultat d’une pénétration depuis l’extérieur de l’Iran.
Ces dernières années, le groupe de cybersécurité Treadstone71 a publié plusieurs rapports sur le gouvernement iranien et ses cyberattaques et est devenu une autorité dans ce domaine.
Le rapport de Treadstone71 souligne que les principales attaques contre les sites du gouvernement iranien ont très probablement été menées par des pénétrations depuis l’intérieur de l’Iran, en particulier par des initiés ayant accès à ces systèmes.
Des dizaines de sites web parmi les plus importants du gouvernement iranien, ainsi que les systèmes en ligne de la municipalité de Téhéran et des réseaux nationaux de radio et de télévision, ont fait l’objet d’attaques massives depuis janvier 2022.
Le groupe “Gyamsarnegouni” (“Révolte jusqu’au renversement”) a assumé la responsabilité des principales attaques et a divulgué de nombreux documents internes du gouvernement iranien sur son compte Telegram. Le groupe a dégradé les pages d’accueil d’un certain nombre de sites web, affichant des images barrées du Guide suprême Ali Khamenei et plaçant les photos de dirigeants de l’opposition iranienne.
En 2022, les structures et les services Internet du gouvernement albanais ont été la cible d’une cyberattaque massive qui a causé de nombreux problèmes. Une enquête approfondie menée par Microsoft et d’autres organisations a pointé du doigt Téhéran.
Selon l’évaluation de Treadstone71, “l’Iran est depuis longtemps impliqué dans des attaques de cybersécurité et, selon certaines statistiques, se classe au cinquième rang des nations connues pour avoir ciblé leurs adversaires par le biais de la cyberguerre”.
Par mesure de sécurité, note Treadstone71 dans son rapport, l’Iran a décidé de déplacer ses sites web gouvernementaux des serveurs d’hébergement européens vers des sociétés d’hébergement nationales, dans le cadre de son “Internet national”. En conséquence, “tous les sites web gouvernementaux et contrôlés par l’État ont été déplacés des serveurs d’hébergement européens et américains vers des hôtes nationaux” et “l’accès à certains sites web gouvernementaux et contrôlés par l’État a été limité à l'”Internet national”, ce qui les rend inaccessibles via l’Internet mondial”.
Le rapport de Treadstone71 souligne que “nous avons également été témoins d’un type d’attaque différent, distinct de ceux qui infiltrent les sites web gouvernementaux sur les services d’hébergement iraniens vulnérables, ceux réalisés par Gyamsarnegouni (“Uprising till Overthrow”). Les attaques menées par ce groupe comptent parmi les infiltrations les plus profondes contre les réseaux du gouvernement iranien”.
Le rapport note :
Ces attaques se distinguent par trois caractéristiques essentielles :
1. L’ampleur de l’infiltration dans les réseaux gouvernementaux les plus sécurisés, comparable uniquement à l’attaque Stuxnet (qui a utilisé une clé USB).
2. Le volume des documents exfiltrés.
3. L’accès généralisé aux serveurs et aux ordinateurs.
Le rapport de Treadstone71 souligne que les réseaux de radio et de télévision d’État, en particulier dans les pays non démocratiques comme l’Iran, “comptent parmi les réseaux les plus isolés et les plus protégés”. Il ajoute : “Le réseau de radiodiffusion interne de l’Iran n’est pas connecté à l’internet et est très mal protégé, ce qui signifie qu’il est physiquement isolé de l’internet et qu’on ne peut y accéder que de l’intérieur… Le seul moyen pour une personne extérieure d’accéder au réseau serait de s’infiltrer physiquement…”.
En janvier 2022, les médias iraniens ont indiqué que les institutions gouvernementales pensaient que cette attaque avait été menée par des individus qui disposaient d’informations internes sur les systèmes de radio et de télévision de l’État iranien.
L’attaque contre les sites web de la municipalité de Téhéran, le 2 juin 2022, comprenait l’intrusion dans 5 000 caméras utilisées pour le contrôle de la circulation et la reconnaissance faciale. Selon Treadstone71, les pirates “auraient su que les caméras n’étaient pas connectées à l’Internet et qu’ils auraient dû accéder physiquement aux caméras pour les pirater”.
Mais les conclusions les plus surprenantes de Treadstone71 sont liées aux deux attaques très médiatisées de Gyamsarnegouni, qui ont attiré l’attention en mai 2023.
Lors de l’attaque du site web du ministère iranien des affaires étrangères, les pirates ont eu accès à 50 téraoctets de données provenant des archives du ministère. Selon Treadstone71, il a fallu pour cela “pénétrer dans les couches les plus profondes de cet organe gouvernemental”. La nature des documents ayant fait l’objet d’une fuite indique que ces documents seraient inaccessibles sur Internet, ce qui renforce les soupçons d’implication d’un initié”.
L’expertise de Treadstone71 a conclu que “le transfert de 50 To de données ne serait pas possible à distance – et sur un réseau filtré comme celui de l’Iran”, et a ajouté que l’ampleur du piratage est également révélatrice de la manière dont il a été réalisé.
“La vitesse normale de téléchargement sur l’internet en Iran est de 11,8 mégabits par seconde. Pour télécharger 50 téraoctets de données du ministère iranien des affaires étrangères à cette vitesse, il faudrait plus de 392 jours, soit plus d’un an de temps de téléchargement ininterrompu, et l’Internet iranien tombe fréquemment en panne, est bridé par le gouvernement et subit régulièrement des coupures de courant provoquées par ce dernier”, indique le rapport.
“Sur la base de ces chiffres, il est très probable qu’une telle attaque ait eu lieu à partir d’un accès direct aux données.
En ce qui concerne l’attaque du site web du bureau présidentiel, les pirates ont violé les systèmes de communication les plus sécurisés du gouvernement et ont obtenu des dizaines de milliers de documents qui ne dataient pas de plus de quelques mois.
Selon un expert iranien, ce site “utilisait une adresse IP dédiée et impénétrable”.
“Le fait que les pirates aient eu accès à des dizaines de milliers de documents ne datant pas de plus de quelques mois suggère également que l’attaque a été menée par des initiés. Ces documents auraient été stockés sur des ordinateurs ayant un accès limité à l’internet, et il aurait été difficile pour une personne extérieure d’y accéder”, a déclaré Treadstone71.
Le rapport conclut en disant : “Le gouvernement iranien a d’abord attribué la responsabilité à des adversaires étrangers. Cependant, les experts en cybersécurité et les preuves de plus en plus nombreuses suggèrent une implication de l’intérieur”.
