Cyber-opérations iraniennes : les menaces croissantes et les récompenses de 10 millions de dollars

Les cyber-opérations iraniennes : une menace croissante pour la sécurité mondiale

Dans un paysage géopolitique de plus en plus complexe, les cyber-opérations étatiques représentent l’un des défis les plus préoccupants pour la sécurité mondiale. En décembre 2025, le Département d’État américain a annoncé des récompenses allant jusqu’à 10 millions de dollars pour des informations concernant deux hauts responsables iraniens impliqués dans des campagnes de cyberattaque coordonnées. Ces opérations, menées par l’unité Shahid Shushtari affiliée à la Garde révolutionnaire islamique (IRGC), ont ciblé des élections, des infrastructures critiques et des entreprises à travers le monde, causant des pertes financières et des perturbations opérationnelles significatives.

Face à cette menace croissante, comprendre les motivations, les méthodes et les implications de ces cyber-opérations iraniennes devient essentiel pour les organisations et les gouvernements. Ces actions ne se limitent pas aux simples intrusions informatiques ; elles combinent ingérence politique, sabotage économique et opérations psychologiques sophistiquées, exploitant les technologies les plus avancées dont l’intelligence artificielle.

L’unité Shahid Shushtari et les individus recherchés

L’unité Shahid Shushtari, également connue sous de multiples noms de couverture tels qu’Aria Sepehr Ayandehsazan, Emennet Pasargad, Eeleyanet Gostar et Net Peygard Samavat Company, constitue l’une des branches les plus actives du cybercommandement électronique de l’IRGC. Cette entité opère sous l’égide directe des autorités iraniennes, menant des campagnes coordonnées qui démontrent un niveau de sophistication technique et stratégique remarquable. Mohammad Bagher Shirinkar, dirigeant de cette unité, et Fatemeh Sedighian Kashi, sa collaboratrice de longue date, sont au centre de ces opérations cybernétiques.

Profil des cyber-opérateurs clés

Mohammad Bagher Shirinkar supervise les activités de Shahid Shushtari, orchestrant des campagnes qui touchent des secteurs sensibles à travers les États-Unis, l’Europe et le Moyen-Orient. Son expertise technique et sa connaissance des infractions numériques font de lui une cible prioritaire pour les autorités américaines. Fatemeh Sedighian Kashi, quant à elle, agit comme une employée de longue date travaillant en étroite collaboration avec Shirinkar dans la planification et l’exécution des opérations cybernétiques au nom du cybercommandement électronique de l’IRGC.

Ces deux individus maintiennent une relation de travail étroite, coordonnant des cyber-opérations qui ciblent spécifiquement les élections, les infrastructures critiques et les entreprises américaines. Leur capacité à opérer sous de multiples identités et à utiliser des infrastructures de dissimulation témoigne d’une grande expérience du terrain et d’une compréhension approfondie des techniques de cybersécurité.

Historique des opérations et implications

L’implication de ces cyber-opérateurs remonte à plusieurs années, avec des actions qui ont eu des répercussions politiques et économiques considérables. Le Département du Trésor américain a désigné Shahid Shushtari et six de ses employés le 18 novembre 2021, en vertu de l’ordre exécutif 13848, pour leur tentative d’influencer les élections présidentielles américaines de 2020. Cette désignation témoigne de la gravité des activités menées par cette unité et de l’engagement des États-Unis à contrer les ingérences étrangères.

Dans la pratique, les opérations de Shahid Shushtari ont causé des dommages financiers et des perturbations opérationnelles significatifs à travers de multiples secteurs, y compris les médias, le transport, les voyages, l’énergie, les services financiers et les télécommunications. Cette diversité de cibles démontre une stratégie délibérée pour maximiser l’impact et la visibilité des attaques, tout en sapant la confiance du public dans les institutions et les entreprises ciblées.

Cibles stratégiques et méthodes d’attaque

Les cyber-opérations iraniennes ne se contentent pas de s’attaquer aux systèmes informatiques ; elles visent directement les fondements de la stabilité politique et économique des nations. En analysant les cibles et les méthodes employées par Shahid Shushtari, nous pouvons mieux comprendre les motivations derrière ces actions et anticiper les futures menaces potentielles.

Les élections et l’ingérence politique

En août 2020, les acteurs de Shahid Shushtari ont lancé une campagne multidimensionnelle ciblant l’élection présidentielle américaine. Cette campagne combinait des activités d’intrusion informatique avec des exagérations concernant l’accès aux réseaux victimes, dans le but d’amplifier les effets psychologiques. Les auteurs ont prétendu avoir un accès illimité aux systèmes de campagnes politiques et aux bases de données électorales, créant une atmosphère de méfiance et de confusion parmi les électeurs.

Cette approche psychologique s’appuie sur la théorie selon laquelle la simple allégation d’une capacité d’intrusion peut être aussi dévastatrice que l’intrusion elle-même. En diffusant ces affirmations, les opérateurs cherchent à miner la confiance dans le processus démocratique, sans même avoir besoin de compromettre réellement les systèmes électoraux. Cette tactique a été observée dans plusieurs élections à travers le monde, démontrant une compréhension sophistiquée de la psychologie politique et des vulnérabilités informationnelles.

Les infrastructures critiques et les entreprises

Depuis 2023, Shahid Shushtari a établi des revendeurs d’hébergement fictifs nommés “Server-Speed” et “VPS-Agent” pour fournir une infrastructure opérationnelle tout en assurant le déni plausible. Ces entités ont obtenu des espaces serveur auprès de fournisseurs basés en Europe, notamment BAcloud en Lituanie et Stark Industries Solutions au Royaume-Uni. Cette stratégie permet à l’unité de dissimuler la véritable nature de ses activités derrière des frontières juridiques et techniques différentes.

En juillet 2024, les attaquants ont utilisé l’infrastructure VPS-Agent pour compromettre un fournisseur commercial français d’affichages dynamiques, tentant d’afficher des photomontages dénonçant la participation d’athlètes israéliens aux Jeux Olympiques de 2024. Cette cyberattaque était couplée d’une désinformation comprenant de faux articles de presse et des messages de menace adressés aux athlètes israéliens, présentés sous l’étiquette d’un groupe d’extrême droite français fictif. Cette action démontre la capacité de l’unité à mener des opérations ciblées avec une précision géographique et thématique notable.

Les opérations psychologiques et la désinformation

Suite à l’attaque du 7 octobre 2023 menée par Hamas, Shahid Shushtari a utilisé des identités de couverture telles que “Contact-HSTG” pour contacter les familles d’otages israéliens, tentant d’infliger un traumatisme psychologique. Ces communications démontrent une compréhension fine de la psychologie humaine et une volonté maximale de causer des dommages au-delà des simples perturbations techniques.

Le groupe a également entrepris des efforts significatifs pour identifier et obtenir du contenu provenant de caméras IP en Israël, rendant ces images accessibles via plusieurs serveurs. Cette collecte d’informations visuelles sert à la fois à la surveillance tactique et à la propagande, permettant aux auteurs de démontrer leur capacité à pénétrer des infrastructures sensibles et de diffuser du contenu compromettant.

L’évolution des techniques d’attaque avec l’IA

L’unité Shahid Shushtari a intégré l’intelligence artificielle à ses opérations de manière sophistiquée, exploitant les avancées technologiques les plus récentes pour augmenter l’impact et l’efficacité de ses campagnes. Cette intégration de l’IA représente une évolution significative dans les menaces étatiques, transformant radicalement les capacités d’ingérence et de subversion.

Intégration de l’intelligence artificielle

En décembre 2023, Shahid Shushtari a utilisé des présentateurs de生成的 d’IA dans le cadre de l’opération “For-Humanity”, ciblant une entreprise américaine de streaming de télévision sur protocole Internet (IPTV). L’exploitation de l’IA pour générer du contenu audiovisuel réaliste ouvre de nouvelles voies pour la désinformation et l’usurpation d’identité, permettant aux attaquants de créer du matériel persuasif à grande échelle avec des ressources réduites.

Le groupe exploite plusieurs services d’IA, notamment Remini AI Photo Enhancer pour l’amélioration d’images, Voicemod et Murf AI pour la modulation vocale, et Appy Pie pour la génération d’images. Selon un communiqué conjoint d’octobre des agences américaines et israéliennes, ces outils sont combinés de manière créative pour produire du contenu crédible et trompeur, augmentant l’impact psychologique des opérations menées.

Nouveaux vecteurs d’attaque et stratégies

Depuis avril 2024, le groupe a utilisé l’identité en ligne “Cyber Court” pour promouvoir les activités de groupes de hacktivistes de couverture, dont “Makhlab al-Nasr”, “NET Hunter”, “Emirate Students Movement” et “Zeus is Talking”. Ces groupes mènent des activités malveillantes pour protester contre le conflit israélo-hamas, créant une impression d’action spontanée et disparate alors qu’ils sont en réalité orchestrés par une entité étatique coordonnée.

Cette stratégie de dissimulation derrière des acteurs non étatiques permet à l’Iran de nier son implication tout en bénéficiant des opérations de subversion. Les évaluations du FBI indiquent que ces opérations de piratage et de fuite sont destinées à miner la confiance du public dans la sécurité des réseaux victimes, à embarrasser les entreprises et les pays ciblés par des pertes financières et des dommages à la réputation.

Implications pour les organisations et stratégies de défense

Face à ces menaces sophistiquées et multidimensionnelles, les organisations et les gouvernements doivent développer des stratégies de défense robustes et adaptatives. La nature étatique de ces acteurs complique considérablement la réponse, car elle dépasse le cadre des simples cybercrimes et nécessite une approche coordonnée à l’échelle internationale.

Renforcer la cybersécurité contre les menaces étatiques

La protection contre les cyber-opérations iraniennes nécessite une approche multicouche combinant technologies avancées, protocoles stricts et sensibilisation continue. Les organisations doivent prioriser la protection des infrastructures critiques et des systèmes contenant des données sensibles, en particulier celles qui pourraient être utilisées à des fins de propagande ou d’ingérence politique.

Dans la pratique, cela implique :

1. Mise à jour régulière des systèmes : Les vulnérabilités non corrigées constituent des portes d’entrée privilégiées pour les attaquants étatiques. Les organisations doivent maintenir un processus de mise à jour vigoureux et prioritaire.

2. Surveillance avancée des menaces : Déployer des systèmes de détection et de réponse aux menaces (EDR/XDR) capables d’identifier les activités anormales et les techniques avancées utilisées par les acteurs étatiques.

3. Segmentation des réseaux : Isoler les systèmes critiques du reste du réseau pour limiter l’impact potentiel d’une compromission.

4. Formation du personnel : Sensibiliser les employés aux tactiques de phishing et d’ingénierie sociale couramment utilisées dans les campagnes d’ingérence étrangère.

Collaboration internationale et partage d’informations

La nature transnationale des cyber-opérations iraniennes rend la collaboration internationale essentielle pour une réponse efficace. Les initiatives comme le programme de récompenses pour la justice du Département d’État américain représentent un modèle prometteur pour encourager le partage d’informations et la coopération entre les agences nationales.

En France, l’Agence nationale de la sécurité des systèmes d’information (ANSSI) joue un rôle crucial dans la coordination de la réponse aux menaces avancées persistantes (APT), y compris celles attribuables à des acteurs étatiques iraniens. L’ANSSI recommande aux organisations d’adopter une approche proactive de la cybersécurité, en intégrant les principes de l’ISO 27001 et en participant aux programmes de partage d’informations sectoriels.

“Les menaces étatiques représentent le plus défi le plus complexe pour les organisations modernes. Elles nécessitent non seulement des techniques de défense avancées, mais aussi une compréhension stratégique des motivations et des objectifs politiques sous-jacents.” — Directeur de la sécurité d’une grande entreprise européenne

Conclusion et perspectives d’avenir

Les cyber-opérations iraniennes, menées par des unités comme Shahid Shushtari, représentent une évolution préoccupante des menaces étatiques dans le domaine de la cybersécurité. La combinaison d’ingérence politique, de sabotage économique et d’opérations psychologiques, amplifiée par l’intégration croissante de l’intelligence artificielle, crée un paysage de menaces sans précédent pour les démocraties et les organisations à travers le monde.

La réponse à ces défis nécessite une approche multidimensionnelle, combinant renforcement des capacités de défense, coopération internationale et sensibilisation accrue. La récompense de 10 millions de dollars offerte par le Département d’État américain pour des informations concernant Mohammad Bagher Shirinkar et Fatemeh Sedighian Kashi témoigne de l’engagement des démocraties à contrer ces menaces, mais elle représente également une reconnaissance du défi considéré que représentent ces acteurs étatiques sophistiqués.

Alors que la cyberguerre continue d’évoluer, les organisations doivent rester vigilantes et adaptatives, en intégrant les dernières avancées en matière de cybersécurité tout en comprenant les dynamiques politiques sous-jacentes qui motivent ces actions. Seules une approche proactive et collaborative permettra de faire face efficacement à la menace croissante des cyber-opérations iraniennes et d’autres acteurs étatiques similaires.