Cyberespionnage. L’Iran émerge comme la principale menace contre la présidentielle de novembre, avec un candidat dans le viseur : Donald Trump. Enquête sur ses méthodes d’infiltration.
Par Corentin Pennarguear, L'Express
A chaque ouverture de son compte mail, à chaque réception d’un texto ou d’un message sur WhatsApp, la même angoisse saisit Saeid Golkar. Celle de cliquer sur le mauvais lien, de tomber dans le piège d’une cyberattaque. Une seconde d’inattention suffit pour que les hackers récupèrent toutes ses conversations, son historique de déplacements, son agenda, ses contacts. "Je reçois des tentatives de piratage sans arrêt, sous des formes différentes toutes les semaines, souffle ce professeur iranien en exil aux Etats-Unis, enseignant à l’Université du Tennessee. Invitation pour une conférence fictive, demande d’interview d’un faux journaliste… Leur stratégie consiste à répéter leurs tentatives jusqu’à ce qu’un jour, fatigué ou distrait, vous cliquez sur le mauvais lien. Ils récupèrent alors toute votre vie. Et pourtant, je ne suis personne pour le régime iranien !"
Ces dernières années, l’Iran s’est fait une spécialité de traquer en ligne et de pirater des individus bien précis, ceux qui façonnent la politique internationale envers la République islamique : universitaires, journalistes, diplomates, militants et hommes politiques. "Comme la Corée du Nord, l’Iran est un Etat en faillite, mais son budget ne connaît aucune limite dans certains domaines bien précis : missiles balistiques, programme nucléaire, cyberguerre", souligne Saeid Golkar. Cet été, les Etats-Unis découvrent l’ampleur de la menace posée par ces hackers iraniens, à tel point que Téhéran a pris la place de Moscou dans le classement des menaces contre la démocratie américaine.
Un rendez-vous plus important pour Téhéran que sa propre présidentielle
Au printemps, les renseignements ont identifié des centaines de faux comptes iraniens sur les réseaux sociaux qui incitaient les étudiants des grandes villes à manifester contre le soutien à Israël et la guerre dans la bande de Gaza. Microsoft, de son côté, a découvert au moins cinq sites présentés comme des sites d’information américains, qui étaient en réalité gérés depuis Téhéran à l’aide de l’intelligence artificielle et tentaient de saper la confiance dans le fonctionnement de la démocratie. "L’élection américaine compte davantage pour le régime et a plus d’impact sur les intérêts de Téhéran que la présidentielle de juin dernier en Iran", pointe Kasra Aarabi, directeur de recherche au sein de l’ONG United Against Nuclear Iran.
Ce n’était qu’un début. Fin juillet, un groupe lié aux Gardiens de la révolution, l’armée parallèle sous le contrôle direct du Guide suprême, a réussi à pirater la campagne présidentielle de Donald Trump, à aspirer des e-mails et des données sensibles, puis à les transmettre à des médias américains. D’après plusieurs sources, la cible du hameçonnage serait Roger Stone, un conseiller de longue date de l’ancien président. La presse a refusé de publier ces documents volés, mais la démonstration de force impressionne. "Clairement, nous ne sommes pas face à des stagiaires payés au salaire minimum dans leur sous-sol, mais à des professionnels du cyberespionnage, insiste Alexis Dorais-Joncas, analyste au sein de l’entreprise de cybersécurité Proofpoint. Le groupe derrière cette attaque a pris le temps d’étudier sa cible et son environnement informatique. Et on ne sait pas si cette attaque a réussi à la première tentative d’intrusion, à la dixième ou à la centième." La campagne de Kamala Harris aurait aussi été visée, a priori sans succès.
Derrière le piratage de l’équipe Trump se cache un groupe de hackers connu des renseignements occidentaux depuis au moins 2015 : APT42. Personne ne sait combien ils sont ni où ils se trouvent. Mais les liens de ces pirates informatiques avec les Gardiens de la révolution ne font aucun doute. Toutes les preuves ont été apportées il y a deux ans par Mandiant, une entreprise de cybersécurité rachetée par Google, qui scrute toutes les activités malveillantes d’APT42. "Ce groupe iranien fait avant tout de l’espionnage classique : il siphonne les données d’individus sans faire de bruit ni alarmer qui que ce soit, pour que l’Iran accède à des renseignements confidentiels, décrit John Hultquist, analyste en chef de Google Mandiant Intelligence. Leur travail permet de surveiller de près les personnes intéressantes pour le régime de Téhéran. En général, les services de renseignement iraniens font appel à des petites organisations, très efficaces, et non à des groupes avec des milliers de hackers comme peuvent le faire d’autres Etats." En 2020 déjà, APT42 avait tenté d’infiltrer les campagnes de Trump et de Biden, sans que l’information ne fuite.
Cette année, l’Iran tente par tous les moyens d’empêcher le retour au pouvoir du milliardaire new-yorkais. "Pour la République islamique, Trump est la pire personne qui pourrait occuper la Maison-Blanche, tant sa politique internationale de 'l’homme fou' se révèle imprévisible, avance Saeid Golkar. En comparaison, Harris est une bien meilleure candidate pour Téhéran, qui sait parfaitement que Trump fera absolument tout ce qui lui passe par la tête."
Le républicain est aussi le président qui a enterré l’accord international sur le nucléaire iranien, en 2018, avant d’imposer des sanctions sans précédent à la République islamique. Surtout, Trump reste celui qui a ordonné le meurtre de Qassem Soleimani en 2020, le commandant des Gardiens de la révolution et véritable n°2 du régime iranien. "L’assassinat de Soleimani décidé par Trump fait qu’il est impossible pour le régime de s’asseoir dans la même pièce que lui, indique Kasra Aarabi. Même si les deux camps devaient absolument négocier un accord, le régime iranien ne pourrait pas serrer la main d’une administration Trump sous peine de s’aliéner sa base fanatique, soit 8 millions de personnes, qui lui reprocherait de trahir la mémoire de Soleimani."
L’arme n°1 de l’Iran pour perturber la campagne américaine reste l’infiltration des équipes des candidats. Un moyen de marquer les esprits et de récupérer des informations précieuses. "Le courriel constitue leur porte d’entrée, l’étape zéro de leur chaîne d’attaque, indique Alexis Dorais-Joncas, de Proofpoint. Les groupes iraniens excellent dans 'l’impersonation' : ils se font passer pour un individu qui va être connu ou reconnu par la cible en se créant une fausse adresse mail, puis ils établissent un lien de confiance grâce à des conversations tout à fait bénignes, parfois pendant plusieurs semaines, avant de lancer l’attaque malveillante pour récupérer ses mots de passe ou infecter son outil informatique." Un travail patient, minutieux, presque imparable. Fin août, Proofpoint a observé des hackers nord-coréens reproduire ces techniques iraniennes.
Le risque que les attaques informatiques mènent à des attaques physiques
L’infiltration ne s’arrête pas là : les Iraniens excellent aussi dans le piratage des téléphones portables. "Avec les mobiles, ils ont accès à une quantité faramineuse d’informations personnelles, ils peuvent écouter ce qu’il se passe dans la pièce autour de vous, observer vos échanges de textos, détaille John Hultquist, de Mandiant. Mais APT42 peut aussi surveiller votre localisation physique en direct, ce qui s’avère particulièrement dangereux puisque ce groupe travaille sous les ordres des Gardiens de la révolution, connus pour leur recours à la violence physique."
C’est la crainte principale des services de sécurité américains : que les attaques informatiques de l’Iran trouvent des traductions concrètes sur leur sol. "Imaginez que, dans les données volées, se trouvent des plans de convois de candidats, avec les horaires et les lieux où ils vont se trouver, élabore Alexis Dorais-Joncas. Tout ce qui serait utile pour préparer une attaque physique." En juillet, avant même la tentative d’assassinat contre Donald Trump en Pennsylvanie, le FBI aurait déjoué un complot iranien visant l’ancien président. Un Pakistanais émigré aux Etats-Unis aurait reçu de l’argent de Téhéran pour préparer un attentat contre la campagne républicaine, mais il a été arrêté avant de passer à l’acte. Ironie de l’histoire, ses comptes mails avaient été infiltrés par des agents américains.
Si la cyberdéfense occidentale s’adapte en continu à ces attaques iraniennes, elle n’en a pas moins toujours, par définition, un temps de retard. "Malheureusement, les ingérences russes de 2016 ont ouvert la boîte de Pandore, regrette John Hultquist. Il n’existe pas de dissuasion efficace contre ce genre de campagnes de piratage et, à l’avenir, celles-ci ne seront que plus difficiles à contrer." A nos démocraties de se donner les armes pour lutter au mieux contre les hackers de Téhéran.