Iran-Israël : sur Internet, les coulisses d’une guerre virtuelle sans merci

Officiellement, la guerre entre Israël et l’Iran a commencé le 13 juin 2025. Mais ce n’était pas la première fois que l’Etat hébreu cherchait à détruire le programme nucléaire iranien. Pour d’autres, la guerre entre les deux pays a commencé à Minsk, la capitale de la Biélorussie, en juin 2010. En ce début d’été, VirusBlokAda, une entreprise locale de cybersécurité, reçoit un appel d’un client iranien, dont les ordinateurs rencontrent un problème inhabituel. C’est à partir de ce coup de téléphone que Stuxnet, considérée comme la plus puissante cyberattaque au monde à ce moment-là, est découverte. Un virus, implanté dans une clef USB, est parvenu à utiliser de multiples vulnérabilités pour s’installer automatiquement sur un ordinateur, sans se faire repérer, avant de se multiplier sur les autres machines connectées sur un même réseau. Au moment où VirusBlokAda détecte la présence du ver, 58,9 % des ordinateurs iraniens sont infectés.

Le but de Stuxnet n’est pourtant pas de se propager dans tous les appareils du pays, et il est d’ailleurs, dans la plupart des cas, inoffensif. Son véritable objectif est d’infecter les centrifugeuses servant à enrichir l’uranium, et de les détruire de l’intérieur, le plus discrètement possible, afin d’affaiblir le programme nucléaire iranien. L’opération rencontre un franc succès : on estime que près de 1 000 centrifugeuses ont été détruites à cette occasion. Ce qui aurait retardé les recherches du pays d’au moins deux ans.

Si Israël n’a jamais officiellement reconnu être à l’origine de Stuxnet, de nombreux indices permettent aux experts du secteur d’attribuer l’attaque à l’Etat hébreu et aux Etats-Unis. Les seuls en mesure de mettre au point une attaque aussi dévastatrice et de la mener à bien. Stuxnet, il y a quinze ans, a été la première face visible de la guerre cyber entre les deux pays ennemis — un conflit qui ne s’est jamais arrêté, et qui est aujourd’hui plus vif que jamais.

Israël, pionnier du cyber

Israel "a été parmi les premiers pays à se rendre compte du danger et du potentiel de l’espace cyber", décrit Matthew Cohen, professeur associé de l’université Merrimack, spécialiste des relations internationales et de la cybersécurité. Cette prise de conscience donne naissance, dès 1997, à l’une des premières agences gouvernementales dédiées aux questions de cybersécurité au monde, qui a permis au pays de développer dès le début des années 2000 de très fortes capacités grâce à des investissements dans des start-up du secteur.

"Il y a une collaboration étroite entre les entreprises du secteur privée, le monde académique et l’armée", reprend le professeur. Les jeunes Israéliens sont également formés dès l’école aux questions informatiques, et les meilleurs élèves sont généralement repérés par l’armée, qui les place dans des unités cyber lors de leur service militaire, obligatoire.

Aujourd’hui, ces deux groupes, Unit 8200 et Unit 81, sont considérés parmi les meilleurs au monde en termes de cybersécurité et de service de renseignement. L’Unit 8200, équivalent de la NSA américaine, est soupçonnée d’être derrière l’attaque des bipeurs du Hezbollah. L’Unit 81, comparée à la DGSE française, a pour mission de concevoir de nouvelles technologies et de nouvelles armes utilisées directement sur le terrain. Les vétérans de ces unités prestigieuses "ont fondé les entreprises de cybersécurité les plus importantes et les plus avancées d’Israël", développe Matt Cohen, ce qui renforce le lien entre armée et secteur privé.

Si l’excellence du cyber israélien ne fait aucun doute, le mystère règne sur le type d’opérations que l’Etat est précisément en mesure de faire désormais. "Leurs capacités sont gardées secrètes pour des aspects stratégiques", indique Pierre Delcher, responsable des menaces cyber au sein d’Harfang Lab. "Ces capacités se retrouvent dans tout l’appareil d’Etat et dans toutes les branches de l’armée et du renseignement, du Mossad au Shin Bet".

Certains éléments permettent néanmoins de se faire une idée du niveau de cet écosystème. En 2007, le bombardement d’un réacteur nucléaire en Syrie a montré qu’Israël pouvait prendre le contrôle à distance des systèmes de défense aériens d’un pays adversaire afin de pouvoir voler sur le territoire sans se faire repérer. Stuxnet a montré la méticulosité des hackers du pays en 2010, tout comme Duqu 2.0, un autre logiciel espion, repéré en 2015. La cyberattaque lancée en 2020 contre le port de Rajaei, dans le détroit d’Hormuz, a souligné la capacité de l’Etat hébreu à paralyser des infrastructures critiques à l’étranger. "On ne sait pas encore quel rôle les capacités cyber ont joué dans les récents bombardements israéliens contre l’Iran, mais il serait surprenant qu’elles n’aient pas été utilisées", reprend Matt Cohen.

La montée en puissance de l’Iran

L’Iran accusait un sérieux retard sur Israël en 2010, au moment de Stuxnet. Depuis, le régime a réalisé de nets progrès, notamment grâce à l’étude du virus. Un exemple marquant de cette amélioration est survenu en 2020, lorsque l’Iran a réussi à hacker le logiciel de gestion du réseau de distribution d’eau d’Israël après avoir utilisé des serveurs européens et américains pour cacher sa présence. Le but de l’attaque était d’augmenter les niveaux de chlore dans l’eau distribuée, ce qui aurait eu pour conséquence de rendre malade des centaines de personnes.

"Contrairement à Israël, l’Iran n’hésite pas à viser aussi bien des cibles militaires, gouvernementales que civiles, relève Matt Cohen. Mais Téhéran ne semble pas encore capable de créer des logiciels malveillants aussi discrets que ceux d’Israël, ni de masquer ses attaques avec autant d’efficacité. Israël garde donc une nette supériorité dans le cyberespace. Mais le nombre croissant d’attaques iraniennes, leur complexité, et la volonté de frapper des infrastructures civiles réduisent peu à peu l’écart entre les deux pays."

Le régime islamique reste tout de même en dessous d’Israël. "Leurs attaques sont moins techniques. La plupart du temps, les hackers récupèrent des scripts déjà disponibles sur Internet et les combinent, les transforment, indique Kave Salamatian, professeur d’informatique à l’université de Savoie. Ils n’ont pas les capacités de faire des attaques utilisant des'0 day' [NDLR : ces failles dans les logiciels qui n’ont pas encore été détectées par les entreprises et permettent de faire de redoutables dégâts]."

Pour autant, il ne faut pas sous-estimer les capacités de Téhéran. L’Iran est aujourd’hui "un acteur mature", estime Maxime Arquillière, analyste cybermenaces pour Sekoia. "Ils ont de très bons ingénieurs, et comme le pays est sous sanctions, il est possible qu’ils n’aient parfois pas d’autres choix que de travailler pour le régime." Deux principales structures y disposent de capacités cyber : le ministère du Renseignement — une structure gouvernementale plus orientée vers l’espionnage stratégique — et les Gardiens de la révolution, l’organisation paramilitaire et idéologique du régime, davantage engagée dans des opérations de sabotage et de destruction.

L’Iran est soupçonnée d’être derrière de nombreuses attaques survenues ces dernières années dans le monde. "Le groupe APT-33, aussi connu sous le nom de Peach Sandstorm, est directement lié au gouvernement, cite en exemple Clémence Poirier, chercheuse en cyberdéfense à l’école polytechnique de Zurich. Ils visaient surtout l’industrie pétrochimique, le secteur de l’aviation et de la défense afin de faire de l’espionnage industriel à leur début. Depuis quelques années, leur objectif a changé, et ils font surtout de la destruction."

APT-33 n’est qu’un acteur parmi des dizaines dans la galaxie cyber iranienne : CyberAv3ngers, un groupe affilié aux Gardiens de la révolution, a attaqué le système électrique israélien en 2024 ; APT-42 vise principalement les diplomates, les membres du gouvernement, les militaires et les journalistes israéliens avec des phishings extrêmement sophistiqués ; MuddyWater, Dune, APT-35, Parasite… Les groupes se multiplient, et les capacités du régime également.

Tous les ennemis de Téhéran sont touchés par ces attaques. Israël est en première ligne, mais les Etats-Unis figurent également sur la liste. Depuis 2020, ces groupes ont été à l’origine d’opérations variées : rançongiciels visant des hôpitaux ou des institutions américaines, vols de données ou attaques de systèmes de gestion de l’eau. Enfin, pendant la dernière campagne présidentielle américaine, les hackers iraniens ont réussi à pirater les équipes de Donald Trump, grâce au phishing d’un proche du président. Ils ont ainsi pu récupérer certaines informations sensibles, qu’ils ont tenté de partager à la presse — sans succès.

Saudi Aramco, l’entreprise pétrolière nationale d’Arabie saoudite, a également subi une violente cyberattaque en 2012, qui avait bloqué ses opérations pendant plusieurs jours. Enfin, au début du mois de juin, c’est l’Albanie qui a été la cible de l’Iran. Les services municipaux de la capitale, Tirana, ont été bloqués pendant plusieurs heures à cause d’une cyberattaque lancée en représailles contre le gouvernement albanais, qui accueille dans le pays un important groupe de dissidents iraniens.

Téhéran reçoit de plus l’aide d’autres groupes cyber, étatiques ou non. "Le groupe pro-Palestine Handala a revendiqué une attaque en juin contre des systèmes militaires israéliens, reprend Clémence Poirier. On voit une extension du conflit israélo-palestinien, mais aussi d’autres : des hackers propakistanais et prorusses se sont rangés derrière l’Iran, et les pro-indiens derrière Israël." Une étude de Cyble, parue le 24 juin, montre ainsi que 81 groupes d’hacktivistes se sont alliés à l’Iran depuis le bombardement de ses sites nucléaires, et qu’ils multiplient les attaques DDOS contre les institutions militaires américaines.

Pas de cessez-le-feu dans le cyber

Doit-on craindre une extension massive du conflit cyber ? "Au vu des récents événements, le risque d’attaques perturbatrices iraniennes contre des cibles américaines a augmenté", reconnaît John Hultquist, analyste en chef pour Google Threat Intelligence Group. Cependant, les opérations menées contre Israël ont souvent "des résultats mitigés. Ils exagèrent souvent leurs effets pour maximiser l’impact psychologique. Il faut éviter de les surestimer et de leur faire involontairement de la publicité."

Clémence Poirier met également en garde contre l’opportunisme des hackers : "Depuis quinze jours, le marché du cybercrime est en ébullition, avec de fausses revendications sur les forums, de fausses fuites de données… Pour les criminels, c’est l’occasion de se faire de l’argent." La chercheuse estime ainsi que plus de 50 % des revendications de ces dernières semaines sont fausses, ou enjolivées. Autant d’activités qui rajoutent à la confusion, ce qui profite à l’Iran.

Cette guerre psychologique est l’une des spécialités de la République islamique. "C’est vraiment une guerre de l’information", reprend Pierre Delcher, de Harfang Lab. "Le but n’est pas seulement d’influencer, mais de créer de la terreur chez l’adversaire. Cela passe par de la désinformation, par exemple en relayant de fausses images de bombardements sur des comptes Telegram pour jouer sur le soutien de la population à la guerre."

Ce conflit numérique est parti pour durer, selon les experts du secteur. "Même si l’on revient à une situation plus calme, il y aura toujours une activité cyber, analyse Clémence Poirier. Ces deux pays ennemis sont en guerre depuis des années. Il n’y a pas de raison que leurs cyberattaques s’arrêtent." Les groupes d’"hacktivistes" alignés sur les intérêts d’Israël ou de l’Iran ne signeront d’ailleurs, eux, pas de cessez-le-feu.

Des deux côtés, des attaques contre les ports et les infrastructures sont probables, met en garde Matt Cohen, tout comme une hausse des campagnes d’espionnage, et le recours aux virus. "A court terme, je ne pense pas qu’il y aura beaucoup d’attaques de l’Iran, qui est affaibli par la mort de plusieurs chefs militaires", observe l’expert. Une accalmie qui ne durera pas plus de quelques mois.