Trace Id is missing

L’Iran multiplie les opérations de cyber-influence pour soutenir le Hamas

Télécharger
Partager

Introduction

Lorsque la guerre entre Israël et le Hamas a éclaté le 7 octobre 2023, l'Iran a immédiatement apporté son soutien au Hamas grâce à sa technique désormais bien rodée consistant à combiner des piratages ciblés avec des opérations d'influence amplifiées sur les réseaux sociaux, ce que nous appelons des opérations de cyber-influence.1 Les opérations de l'Iran ont d'abord été réactionnaires et opportunistes. À la fin du mois d'octobre, la quasi-totalité de l'influence iranienne et des principaux acteurs cybernétiques s'est concentrée sur Israël de manière de plus en plus ciblée, coordonnée et destructrice, ce qui a donné lieu à une campagne « groupée » contre Israël. Contrairement à certaines cyberattaques passées de l'Iran, toutes ses cyberattaques destructrices contre Israël dans cette guerre, réelles ou fabriquées, ont été complétées par des opérations d'influence en ligne.

Définition des termes clés

  • Opérations de cyber-influence 
    Opérations combinant des opérations offensives sur des réseaux informatiques avec des messages et une amplification de manière coordonnée et manipulatrice pour modifier les perceptions, les comportements ou les décisions des publics cibles afin de promouvoir les intérêts et les objectifs d'un groupe ou d'une nation.
  • Cyberpersonnage 
    Un groupe ou un individu fabriqué et présenté au public qui assume la responsabilité d'une cyber-opération tout en fournissant un démenti plausible au groupe ou à la nation sous-jacente qui en est responsable.
  • Faux-nez 
    Un faux personnage en ligne utilisant des identités fictives ou volées dans un but de tromperie.

Les opérations d'influence sont devenues de plus en plus sophistiquées et inauthentiques, déployant des réseaux de « faux-nez » sur les réseaux sociaux au fur et à mesure que la guerre progressait. Tout au long de la guerre, ces opérations d'influence ont cherché à intimider les Israéliens tout en critiquant la gestion des otages et des opérations militaires par le gouvernement israélien afin de polariser et finalement de déstabiliser Israël.

Finalement, l'Iran a tourné ses cyberattaques et ses opérations d'influence contre les alliés politiques et les partenaires économiques d'Israël afin d’affaiblir le soutien aux opérations militaires de ce pays.

Nous pensons que la menace posée par les opérations cybernétiques et d'influence de l'Iran augmentera à mesure que le conflit se poursuivra, en particulier dans le contexte d'un risque croissant d'élargissement de la guerre. L'audace accrue des acteurs iraniens et affiliés à l'Iran, associée à une collaboration croissante entre eux, laisse présager une menace grandissante à l'approche des élections américaines de novembre.

Les cyber-opérations et les opérations d'influence de l'Iran sont passées par plusieurs phases depuis l'attaque terroriste du Hamas du 7 octobre. Un élément de leurs opérations est resté constant : la combinaison de cyberciblages opportunistes et d'opérations d'influence qui induisent souvent en erreur quant à la précision ou à l'ampleur de l'impact.

Ce rapport se concentre sur les opérations d'influence iraniennes et les opérations de cyber-influence du 7 octobre jusqu'à la fin de 2023, tout en couvrant les tendances et les opérations remontant au printemps 2023.

Graphique décrivant les phases des opérations de cyber-influence de l'Iran dans le cadre de la guerre entre Israël et le Hamas

Phase 1 : Réactif et trompeur

Les groupes iraniens ont été réactifs lors de la phase initiale de la guerre entre Israël et le Hamas. Les médias d'État iraniens ont fourni des détails trompeurs sur les cyberattaques revendiquées et les groupes iraniens ont réutilisé du matériel daté provenant d'opérations historiques, ont réutilisé l'accès qu'ils avaient avant la guerre et ont exagéré la portée et l'impact globaux des cyberattaques revendiquées.

Près de quatre mois après le début de la guerre, Microsoft n'a toujours pas trouvé, dans ses données, de preuves claires indiquant que des groupes iraniens ont coordonné leurs opérations cybernétiques ou d'influence avec les plans du Hamas visant à attaquer Israël le 7 octobre. La prépondérance de nos données et de nos conclusions suggère plutôt que les cyberacteurs iraniens ont réagi en intensifiant rapidement leurs opérations cybernétiques et d'influence après les attaques du Hamas pour contrer Israël.

Détails trompeurs sur les attaques revendiquées par les médias d'État : 
Le jour où la guerre a éclaté, l'agence de presse Tasnim, un média iranien affilié au Corps des gardiens de la révolution islamique (CGRI), a affirmé à tort qu'un groupe appelé « Cyber Avengers » avait mené des cyberattaques contre une centrale électrique israélienne « en même temps » que les attaques du Hamas. 2 Cyber Avengers, un cyberpersonnage géré par le CGRI, a en fait affirmé avoir mené une cyberattaque contre une compagnie d'électricité israélienne la veille de l'incursion du Hamas.3 Leurs preuves : des articles de presse datant de plusieurs semaines faisant état de coupures de courant « ces dernières années » et une capture d'écran d'une interruption de service non datée sur le site web de la compagnie. 4
Réutilisation de matériaux anciens : 
Après les attaques du Hamas contre Israël, les Cyber Avengers ont prétendu mener une série de cyberattaques contre Israël, dont les premières se sont révélées fausses d'après nos enquêtes. Le 8 octobre, ils ont prétendu avoir divulgué des documents sur une centrale électrique israélienne, alors que ces documents avaient déjà été publiés en juin 2022 par un autre cyberpersonnage géré par le CGRI, « Moses Staff ».5
Réutilisation de l'accès : 
Un autre cyberpersonnage, « Malek Team », dont nous estimons qu'il est dirigé par le Ministère du Renseignement de la république islamique d'Iran (MOIS), a divulgué des données personnelles d'une université israélienne le 8 octobre, sans lien clair avec le conflit naissant dans ce pays, ce qui donne à penser que la cible était opportuniste et peut-être choisie sur la base d'un accès préexistant avant le déclenchement de la guerre. Plutôt que d'établir des liens entre les données divulguées et le soutien aux opérations du Hamas, Malek Team a d'abord utilisé des hashtags sur X (anciennement Twitter) pour soutenir le Hamas et, quelques jours plus tard, a modifié son message pour s'aligner sur le type de message dénigrant le Premier ministre israélien Benjamin Netanyahou que l'on retrouve dans d'autres opérations d'influence iraniennes.
La consommation de propagande iranienne dans le monde illustrée par une chronologie et un graphique de proportion du trafic
Figure 2 : Veille des menaces Microsoft - Consommation de propagande iranienne par pays, attaques du Hamas contre Israël. Graphique montrant l'activité d'avril à décembre 2023.
Les opérations d'influence de l'Iran ont été les plus efficaces dans les premiers jours de la guerre 
La portée des médias affiliés à l'État iranien s'est accrue après le déclenchement de la guerre entre Israël et le Hamas. Au cours de la première semaine du conflit, nous avons observé une augmentation de 42 % de l'indice de propagande iranienne du labo Microsoft AI for Good, qui surveille la consommation d'informations provenant de l'État iranien et des médias affiliés à l'État (voir la figure 1). L'indice mesure la proportion du trafic visitant ces sites par rapport au trafic global sur l'internet. Cette augmentation a été particulièrement prononcée dans les pays anglophones étroitement alliés aux États-Unis (figure 2), ce qui souligne la capacité de l'Iran à atteindre des publics occidentaux grâce à ses reportages sur les conflits du Moyen-Orient. Un mois après le début de la guerre, la portée de ces sources iraniennes restait supérieure de 28 à 29 % au niveau d'avant-guerre au niveau mondial.
L'influence de l'Iran sans les cyberattaques démontre son agilité 
Les opérations d'influence de l'Iran sont apparues plus agiles et plus efficaces dans les premiers jours de la guerre que ses opérations combinées de cyber-influence plus tard dans le conflit. Dans les jours qui ont suivi l'attaque du Hamas contre Israël, un acteur étatique iranien probable, que nous suivons sous le nom de Storm-1364, a lancé une opération d'influence en utilisant un personnage en ligne appelé « Tears of War », qui s'est fait passer pour des activistes israéliens afin de diffuser des messages anti-Netanyahou à des publics israéliens sur de multiples réseaux sociaux et plateformes de messagerie. La rapidité avec laquelle Storm-1364 a lancé cette campagne après les attaques du 7 octobre met en évidence l'agilité de ce groupe et souligne les avantages des campagnes d'influence uniquement, qui peuvent être plus rapides à mettre en place parce qu'elles n'ont pas besoin d'attendre la cyberactivité d'une opération de cyber-influence.

Phase 2 : Tout le monde sur le pont

De la mi-octobre à la fin octobre, un nombre croissant de groupes iraniens se sont tournés vers Israël, et les opérations de cyber-influence de l'Iran sont passées d'une approche essentiellement réactive, fabriquée, ou les deux, à des cyberattaques destructrices et à l'élaboration de cibles d'intérêt pour les opérations. Ces attaques comprenaient la suppression de données, des ransomwares et, apparemment, le réglage d'un appareil de l'internet des objets (IoT).6 Nous avons également vu des preuves d'une coordination accrue entre les groupes iraniens.

Au cours de la première semaine de la guerre, la Veille des menaces Microsoft a recensé neuf groupes iraniens actifs contre Israël ; ce nombre est passé à 14 groupes au 15e jour. Dans certains cas, nous avons observé plusieurs groupes du CGRI ou du MOIS ciblant la même organisation ou la même base militaire par le biais de cyberactivités ou d'activités d'influence, ce qui suggère une coordination, des objectifs communs fixés à Téhéran, ou les deux.

Les opérations de cyber-influence ont également augmenté. Nous avons observé quatre opérations de cyber-influence mises en œuvre à la hâte et visant Israël au cours de la première semaine de la guerre. À la fin du mois d'octobre, le nombre de ces opérations avait plus que doublé, marquant une accélération significative de ces opérations, de loin la plus rapide à ce jour (voir figure 4).

Illustration : Le lien entre la cybernétique et l'influence de l'Iran, avec les symboles, la veille des menaces et le Corps des gardiens de la révolution
Calendrier des opérations d'influence cybernétique de l'Iran : Augmentation pendant la guerre de Kamas, 2021-2023

Le 18 octobre, le groupe Shahid Kaveh du CGRI, que Microsoft suit sous le nom de Storm-0784, a utilisé un ransomware personnalisé pour mener des cyberattaques contre des caméras de sécurité en Israël. Il a ensuite utilisé l'un de ses cyberpersonnages, « Soldiers of Solomon », pour prétendre à tort qu'il avait rançonné les caméras de sécurité et les données de la base aérienne de Nevatim. L'examen des images de sécurité divulguées par Soldiers of Solomon révèle qu'elles proviennent d'une ville située au nord de Tel Aviv et dotée d'une rue Nevatim, et non de la base aérienne du même nom. En fait, l'analyse de la localisation des victimes révèle qu'aucune d'entre elles ne se trouvait à proximité de la base militaire (voir figure 5). Si les groupes iraniens ont commencé à mener des attaques destructrices, leurs opérations sont restées largement opportunistes et ils ont continué à tirer parti de leurs activités d'influence pour exagérer la précision ou l'effet des attaques.

Le 21 octobre, un autre cyberpersonnage géré par le groupe Cotton Sandstorm du CGRI (communément appelé Emennet Pasargad) a partagé une vidéo montrant les attaquants en train de dégrader des écrans numériques dans des synagogues avec des messages qualifiant les opérations d'Israël à Gaza de « génocide ». 7 Il s'agit d'une méthode permettant d'intégrer des messages directement dans des cyberattaques visant une cible relativement vulnérable.

Au cours de cette phase, l'activité d'influence de l'Iran a utilisé des formes plus étendues et plus sophistiquées d'amplification inauthentique. Au cours des deux premières semaines de la guerre, nous n'avons détecté que des formes avancées minimes d'amplification inauthentique, ce qui suggère à nouveau que les opérations étaient réactives. Dès la troisième semaine de la guerre, l'acteur d'influence le plus prolifique de l'Iran, Cotton Sandstorm, est entré en scène en lançant trois opérations de cyber-influence le 21 octobre. Comme c'est souvent le cas pour ce groupe, il a utilisé un réseau de faux-nez sur les réseaux sociaux pour amplifier les opérations, bien que nombre d'entre eux semblent avoir été réaffectés à la hâte, sans couverture authentique les déguisant en Israéliens. À plusieurs reprises, Cotton Sandstorm a envoyé des SMS ou des courriels en masse pour amplifier ou vanter ses opérations, en utilisant des comptes compromis pour renforcer l'authenticité.8

Les affirmations de l'Iran concernant une cyberattaque sont démenties : Faux ransomware et images de vidéosurveillance, opérations d'influence trompeuses dénoncées

Phase 3 : Élargissement du champ d'application géographique

À partir de la fin novembre, des groupes iraniens ont étendu leur cyber-influence au-delà d'Israël, pour inclure des pays que l'Iran perçoit comme aidant Israël, très probablement pour affaiblir le soutien politique, militaire ou économique international aux opérations militaires d'Israël. Cet élargissement du ciblage a coïncidé avec le début des attaques contre des navires internationaux liés à Israël par les Houthis, un groupe militant chiite soutenu par l'Iran au Yémen (voir figure 8).9

  • Le 20 novembre, le cyberpersonnage « Homeland Justice », géré par l'Iran, a mis en garde contre de prochaines attaques majeures contre l'Albanie, avant d'amplifier les cyberattaques destructrices menées par les groupes du MOIS à la fin du mois de décembre contre le Parlement albanais, la compagnie aérienne nationale et les fournisseurs de télécommunications.10
  • Le 21 novembre, le cyberpersonnage « Al-Toufan », géré par Cotton Sandstorm, a ciblé le gouvernement bahreïni et des organisations financières pour avoir normalisé les liens avec Israël.
  • Le 22 novembre, des groupes affiliés au CGRI ont commencé à prendre pour cible des automates programmables (API) de fabrication israélienne aux États-Unis, et peut-être en Irlande, notamment en mettant l'un d'entre eux hors ligne dans un service des eaux de Pennsylvanie le 25 novembre (figure 6).11 Les API sont des ordinateurs industriels adaptés au contrôle des processus de fabrication, tels que les chaînes de montage, les machines et les dispositifs robotisés.
  • Début décembre, un personnage que le MTAC considère comme parrainé par l'Iran, « Cyber Toufan Al-Aksa », a prétendu faire fuir des données de deux entreprises américaines pour avoir soutenu financièrement Israël et fourni des équipements à son armée.12 Il avait précédemment revendiqué des attaques de suppression de données contre les entreprises le 16 novembre.13 En l'absence de preuves scientifiques solides reliant le groupe à l'Iran, il est possible que le personnage soit dirigé par un partenaire iranien à l'extérieur du pays avec une implication iranienne.
Une société de distribution d'eau de Pennsylvanie défigurée avec le logo des Cyber Avengers, 25 novembre

Les opérations de cyber-influence de l'Iran ont également continué à se sophistiquer au cours de cette dernière phase. Ils ont mieux dissimulé leurs faux-nez en renommant certaines d'entre elles et en changeant leurs photos de profil pour qu'elles paraissent plus authentiquement israéliennes. Entre-temps, ils ont eu recours à de nouvelles techniques que nous n'avions jamais vues de la part d'acteurs iraniens, notamment l'utilisation de l'IA comme élément clé de leur message. Nous évaluons Cotton Sandstorm qui a perturbé les services de télévision en continu aux Émirats arabes unis et ailleurs en décembre sous le couvert d'un personnage appelé « For Humanity ». For Humanity a publié sur Telegram des vidéos montrant le groupe en train de pirater trois services de diffusion en ligne et de perturber plusieurs chaînes d'information avec une fausse émission d'information mettant en scène un présentateur apparemment généré par l'intelligence artificielle et prétendant montrer des images de Palestiniens blessés et tués lors d'opérations militaires israéliennes (figure 7).14 Des médias et des téléspectateurs des Émirats arabes unis, du Canada et du Royaume-Uni ont signalé des perturbations dans les programmes de télévision en continu, y compris ceux de la BBC, qui correspondaient aux affirmations de For Humanity.15

HUMANITY 2023 : 8 octobre, 180 tués, 347 blessés. Figure 7 : Perturbation de la télévision en continu grâce à un diffuseur généré par l'IA
L'Iran étend son ciblage aux partisans d'Israël, aux cyberattaques, aux avertissements et aux activités de défiguration.

Les opérations de l'Iran visaient quatre grands objectifs : la déstabilisation, les représailles, l'intimidation et l'affaiblissement du soutien international à Israël. Ces quatre objectifs visent également à affaiblir l'environnement d'information d'Israël et de ses partisans afin de créer une confusion générale et un manque de confiance.

Déstabilisation par la polarisation 
Le ciblage d'Israël par l'Iran au cours de la guerre entre Israël et le Hamas vise de plus en plus à attiser les conflits internes sur l'approche du gouvernement israélien à l'égard de la guerre. De nombreuses opérations d'influence iraniennes se sont fait passer pour des groupes d'activistes israéliens afin de diffuser des messages incendiaires critiquant l'approche du gouvernement à l'égard des personnes enlevées et prises en otage le 7 octobre.17 Netanyahou a été la principale cible de ces messages et les appels à sa destitution ont été un thème commun des opérations d'influence iraniennes.18
AVENGERS - Pas d'électricité, de nourriture, d'eau, de carburant. Cyber Avengers renvoit la vidéo sur le blocus d'Israël
Représailles 
La plupart des messages de l'Iran et le choix de ses cibles mettent l'accent sur le caractère de représailles de ses opérations. Par exemple, le personnage nommé Cyber Avengers a publié une vidéo montrant le ministre israélien de la défense déclarant qu'Israël couperait l'électricité, la nourriture, l'eau et le carburant de la ville de Gaza (voir figure 9), suivie d'une série d'attaques revendiquées par les Cyber Avengers visant les infrastructures israéliennes de distribution d'électricité, d'eau et de carburant.19 Le message « Œil pour œil » figurait dans leurs revendications précédentes d'attaques contre les systèmes nationaux d'approvisionnement en eau d'Israël, et l'agence de presse Tasnim, affiliée au CGRI, a rapporté que le groupe avait déclaré que les attaques contre les systèmes d'approvisionnement en eau étaient des représailles au siège de Gaza.20 Un groupe lié au MOIS que nous suivons sous le nom de Pink Sandstorm (alias. Agrius) a effectué un piratage et une fuite contre un hôpital israélien à la fin du mois de novembre, ce qui semblait être une mesure de représailles pour le siège de plusieurs jours de l'hôpital al-Shifa à Gaza par Israël deux semaines plus tôt.21
Intimidation 
Les opérations de l'Iran servent également à affaiblir la sécurité israélienne et à intimider les citoyens d'Israël et ses partisans en diffusant des messages menaçants et en convainquant les publics cibles que les infrastructures et les systèmes gouvernementaux de leur État ne sont pas sûrs. Certaines intimidations de l'Iran semblent viser à affaiblir la volonté d'Israël de poursuivre la guerre, comme les messages tentant de convaincre les soldats de Tsahal qu'ils devraient « quitter la guerre et rentrer chez eux » (figure 10).22 Un cyberpersonnage iranien, qui pourrait se faire passer pour le Hamas, a prétendu envoyer des SMS menaçants aux familles des soldats israéliens, ajoutant : « Les soldats de Tsahal [Forces de défense israéliennes] devraient savoir que si nos familles ne sont pas en sécurité, leurs familles ne le seront pas non plus ».23 Des faux-nez amplifiant le personnage du Hamas ont diffusé sur X des messages indiquant que Tsahal « n'a pas le pouvoir de protéger leurs propres soldats » et ont renvoyé les internautes à une série de messages prétendument envoyés par des soldats de Tsahal demandant au Hamas d'épargner leurs familles.24
Message menaçant d'un supposé faux-nez de Cotton Sandstorm, évoquant l'accès à des données personnelles et encourageant à quitter la guerre.
Affaiblissement du soutien international à Israël 
Les opérations d'influence de l'Iran visant des audiences internationales ont souvent inclus des messages visant à affaiblir le soutien international à Israël en soulignant les dommages causés par les attaques d'Israël sur Gaza. Un personnage se faisant passer pour un groupe pro-palestinien a qualifié les actions d'Israël à Gaza de « génocide ».25 En décembre, Cotton Sandstorm a mené plusieurs opérations d'influence, sous les noms de « For Palestinians » et « For Humanity », appelant la communauté internationale à condamner les attaques d'Israël contre Gaza.26

Pour atteindre ses objectifs dans l'espace informationnel, l'Iran s'est fortement appuyé sur quatre tactiques, techniques et procédures d'influence (TTP) au cours des neuf derniers mois. Il s'agit notamment de l'utilisation de l'usurpation d'identité et de capacités accrues pour activer les publics cibles, associées à un recours accru aux campagnes par SMS et à l'utilisation des médias liés au CGRI pour amplifier les opérations d'influence.

Se faire passer pour des groupes d'activistes israéliens et des partenaires iraniens 
Les groupes iraniens se sont appuyés sur une technique d'usurpation d'identité de longue date en développant des personnages plus spécifiques et plus convaincants qui se font passer à la fois pour des amis et des ennemis de l'Iran. De nombreuses opérations et personnalités iraniennes ont prétendu être des militants de la cause palestinienne.27 Les opérations récentes menées par une personnalité que nous estimons être dirigée par Cotton Sandstorm sont allées plus loin, utilisant le nom et le logo de l'aile militaire du Hamas, les Brigades al-Qassam, pour diffuser de faux messages sur les otages détenus à Gaza et envoyer des messages menaçants aux Israéliens. Une autre chaîne Telegram qui a menacé des membres de Tsahal et divulgué leurs données personnelles, dont nous estimons qu'elle est gérée par un groupe du MOIS, utilise également le logo des Brigades al-Qassam. Il n'est pas certain que l'Iran agisse avec le consentement du Hamas.

De même, l'Iran a créé des imitations de plus en plus convaincantes d'organisations militantes israéliennes fictives situées à droite et à gauche du spectre politique israélien. Par l'intermédiaire de ces faux militants, l'Iran cherche à infiltrer les communautés israéliennes pour gagner leur confiance et semer la discorde.

Inciter les Israéliens à agir 
En avril et en novembre, l'Iran a réussi à plusieurs reprises à recruter des Israéliens à leur insu pour les faire participer à des activités sur le terrain visant à promouvoir ses fausses opérations. Dans le cadre d'une opération récente, intitulée « Tears of War », des agents iraniens auraient réussi à convaincre des Israéliens d'accrocher dans les quartiers israéliens des bannières « Tears of War » portant une image de Netanyahou apparemment générée par l'Iran et appelant à sa destitution (voir figure 11).28
Amplification par le biais de textes et de courriels de plus en plus fréquents et sophistiqués 
Alors que les opérations d'influence iraniennes continuent de s'appuyer fortement sur l'amplification coordonnée et inauthentique des réseaux sociaux pour atteindre les publics cibles, l'Iran a de plus en plus recours à l'envoi massif de SMS et de courriels pour renforcer les effets psychologiques de ses opérations de cyber-influence. L'amplification sur les réseaux sociaux à l'aide de faux-nez n'a pas le même impact qu'un message apparaissant dans la boîte de réception d'une personne, et encore moins sur son téléphone. Cotton Sandstorm s'est appuyé sur ses succès antérieurs en utilisant cette technique à partir de 2022,29 en envoyant des SMS, des courriels ou les deux en masse dans au moins six opérations depuis le mois d'août. L'utilisation accrue de cette technique suggère que le groupe a perfectionné cette capacité et la considère comme efficace. L'opération « Cyber Flood » de Cotton Sandstorm à la fin du mois d'octobre comprenait jusqu'à trois séries de SMS et de courriels envoyés en masse à des Israéliens pour amplifier les cyberattaques revendiquées ou diffuser de fausses alertes sur les attaques du Hamas contre l'installation nucléaire israélienne près de Dimona.30 Dans au moins un cas, ils ont utilisé un compte compromis pour renforcer l'authenticité de leurs courriels.
Figure 11 : Bannière « Tears of War » en Israël avec une image de Netanyahu générée par Al et le texte « destitution immédiate ».
Tirer parti des médias d'État 
L'Iran a utilisé des médias ouvertement et secrètement liés au CGRI pour amplifier les cyber-opérations présumées et parfois en exagérer les effets. En septembre, après que les Cyber Avengers ont revendiqué des cyberattaques contre le système ferroviaire israélien, les médias liés au CGRI ont presque immédiatement amplifié et exagéré leurs affirmations. L'agence de presse Tasnim, liée au CGRI, a cité à tort la couverture médiatique israélienne d'un événement différent comme preuve de la cyberattaque.31 Cette information a été amplifiée par d'autres médias iraniens et alignés sur l'Iran de manière à masquer encore davantage le manque de preuves à l'appui des allégations de cyberattaque.32
Début de l’adoption de l'IA pour les opérations d'influence 
Le MTAC a observé que des acteurs iraniens utilisaient des images et des vidéos générées par l'IA depuis le début de la guerre entre Israël et le Hamas. Cotton Sandstorm et Storm-1364, ainsi que les médias affiliés au Hezbollah et au Hamas, ont utilisé l’IA pour renforcer l'intimidation et développer des images dénigrant Netanyahou et les dirigeants israéliens.
Figure 12 : Opérations d'influence de Cotton Sandstorm d'août à décembre 2023, décrivant diverses méthodes et activités.
1. Une collaboration en plein essor 
Quelques semaines après le début de la guerre entre Israël et le Hamas, nous avons commencé à voir des exemples de collaboration entre des groupes affiliés à l'Iran, ce qui a permis d'améliorer les résultats obtenus par les acteurs. La collaboration abaisse la barrière à l'entrée, permettant à chaque groupe de contribuer aux capacités existantes et supprimant la nécessité pour un seul groupe de développer une gamme complète d'outils ou de savoir-faire.

Nous estimons qu'une paire de groupes liés au MOIS, Storm-0861 et Storm-0842, ont collaboré à une cyberattaque destructrice en Israël à la fin du mois d'octobre, puis en Albanie à la fin du mois de décembre. Dans les deux cas, Storm-0861 a probablement fourni un accès au réseau avant que Storm-0842 n'exécute le logiciel malveillant de type « wiper ». De même, Storm-0842 a exécuté des logiciels malveillants wiper sur des entités gouvernementales albanaises en juillet 2022, après que Storm-0861 ait obtenu un accès.

En octobre, un autre groupe lié au MOIS, Storm-1084, pourrait également avoir eu accès à une organisation en Israël où Storm-0842 a déployé le wiper « BiBi », nommé d'après le changement de nom des fichiers effacés par le logiciel malveillant avec la chaîne « BiBi ». Le rôle éventuel de Storm-1084 dans cette attaque destructrice n'est pas clair. Storm-1084 a mené des cyberattaques destructrices contre une autre organisation israélienne au début de l'année 2023, avec l'aide d'un autre groupe lié au MOIS, Mango Sandstorm (alias MuddyWater).33

Depuis le début de la guerre, la Veille des menaces Microsoft a également détecté une collaboration entre un groupe lié au MOIS, Pink Sandstorm, et des unités cybernétiques du Hezbollah. Microsoft a observé des chevauchements d'infrastructure et des outils communs. La collaboration de l'Iran avec le Hezbollah dans le cadre d'opérations cybernétiques, même si elle n'est pas sans précédent, pose un problème, à savoir que la guerre pourrait rapprocher ces groupes au-delà des frontières nationales sur le plan opérationnel.34 Comme les cyberattaques de l'Iran dans cette guerre ont toutes été combinées à des opérations d'influence, il est probable que l'Iran améliore ses opérations d'influence et leur portée en s'appuyant sur des locuteurs de langue maternelle arabe pour renforcer l'authenticité de ses cyberpersonnages inauthentiques.

2. Hyper focalisation sur Israël 
Les cyberacteurs iraniens s'intéressent de plus en plus à Israël. L'Iran s'intéresse depuis longtemps à Israël, que Téhéran considère comme son principal adversaire aux côtés des États-Unis. Ainsi, d'après les données de Veille des menaces Microsoft, les entreprises israéliennes et américaines ont presque toujours été les cibles les plus courantes de l'Iran au cours des dernières années. Avant la guerre, les acteurs iraniens se sont surtout concentrés sur Israël, suivi par les Émirats arabes unis et les États-Unis. Après l'éclatement de la guerre, l'attention portée à Israël s'est accrue. Quarante-trois pour cent des activités cybernétiques de l'État-nation iranien recensées par Microsoft ont visé Israël, soit plus que les 14 pays suivants réunis.
Ventilation en pourcentage des données de la Veille des menaces Mogult par pays et par cible iranienne avant la guerre et 75 jours après le début de la guerre

Nous pensons que la menace que représentent les opérations cybernétiques et d'influence de l'Iran augmentera à mesure que le conflit entre Israël et le Hamas se poursuivra, notamment en raison du risque croissant d'escalade sur d'autres fronts. Alors que les groupes iraniens se sont empressés de mener, ou simplement de fabriquer, des opérations dans les premiers jours de la guerre, ils ont ralenti leurs opérations récentes, ce qui leur a donné plus de temps pour obtenir l'accès souhaité ou mettre au point des opérations d'influence plus élaborées. Les phases de la guerre décrites dans le présent rapport montrent clairement que les opérations iraniennes de cyber-influence ont lentement progressé, devenant plus ciblées, plus collaboratives et plus destructrices.

Les acteurs iraniens se sont également montrés de plus en plus audacieux dans leur ciblage, notamment en menant une cyberattaque contre un hôpital et en testant les lignes rouges de Washington, apparemment sans se soucier des répercussions. Les attaques du CGRI contre les systèmes américains de contrôle de l'eau, bien qu'opportunistes, étaient apparemment un stratagème astucieux pour tester Washington en prétendant qu'il était légitime de s'en prendre à des équipements fabriqués en Israël.

À l'approche des élections américaines de novembre 2024, la collaboration accrue entre les groupes iraniens et affiliés à l'Iran laisse présager un plus grand défi pour ceux qui s'engagent dans la défense des élections. Les défenseurs ne peuvent plus se contenter de suivre quelques groupes. Au contraire, le nombre croissant d'agents d'accès, de groupes d'influence et de cyberacteurs rend l'environnement de la menace plus complexe et plus imbriqué.

Plus d'informations sur les opérations d'influence de l'Iran

Pour en savoir plus sur les opérations de cyber-influence de l'Iran, en particulier sur les actions de l'Iran liées aux élections présidentielles américaines de 2020 et à la guerre entre Israël et le Hamas, consultez le site Podcast Veille des menaces Microsoft. La discussion porte sur les tactiques utilisées par les acteurs iraniens, telles que l'usurpation d'identité, le recrutement d'habitants et l'utilisation de courriel et des SMS pour amplifier le message. Il met également en lumière les complexités des cyberactivités iraniennes, leurs efforts de collaboration, la consommation de propagande, les tactiques créatives et les défis posés par l'attribution des opérations d'influence.

  1. [1]
  2. [2]
  3. [3]
  4. [4]
  5. [5]
  6. [6]
  7. [7]
  8. [8]
  9. [9]
  10. [10]
  11. [11]
  12. [12]
  13. [13]
  14. [14]
  15. [15]
  16. [16]
  17. [17]
  18. [18]
  19. [19]
  20. [20]
  21. [21]
  22. [22]
  23. [23]
  24. [24]
  25. [25]
  26. [26]
  27. [27]
  28. [28]
  29. [29]
  30. [30]
  31. [31]
  32. [32]
  33. [33]
  34. [34]
Opérations de cyber-influence État-nation Rapports sur les États-nations Acteurs de la menace

Articles connexes

Les acteurs russes de la menace se préparent à tirer parti de la lassitude face à la guerre 

Les cyber-opérations et les opérations d'influence russes persistent alors que la guerre en Ukraine se poursuit. La Veille des menaces Microsoft détaille les dernières cybermenaces et activités d'influence au cours des six derniers mois.
En savoir plus

L’Iran se tourne vers les opérations de cyberinfluence pour plus d’efficacité

Le système de veille des menaces Microsoft a révélé une augmentation des opérations de cyberinfluence lancées par l’Iran. Obtenez des insights sur les menaces, notamment des détails sur les nouvelles techniques et sur les menaces potentielles dans le futur.
En savoir plus

Les opérations d'influence et dans le cyberespace sur le champ de bataille numérique de la guerre en Ukraine

La Veille des menaces Microsoft examine une année d’opérations d’influence et dans le cyberespace en Ukraine, découvre les nouvelles tendances en matière de cybermenaces et ce à quoi il faut s’attendre alors que la guerre entre dans sa deuxième année.
En savoir plus