Les pays du Golfe, nouvelle cible prioritaire des hackers iraniens

Le 2 mars 2026, alors que les drones iraniens frappaient les installations gazières de Ras Laffan, au Qatar, d'autres attaques, plus discrètes, visaient le pays. Des centaines de caméras de sécurité connectées ont reçu, subitement, des demandes de connexion à distance, exploitant des failles dans le processus d'authentification. Derrière ces tentatives d'intrusion plane l'ombre de groupes de cyberattaquants iraniens. "Depuis le 28 février, ils sont particulièrement actifs dans les tentatives de piratage de caméras", pointe Gil Messing, responsable du renseignement cyber chez CheckPoint. "N'ayant pas de troupes sur place, ils utilisent celles-ci pour voir si les frappes ont atteint leur cible, ou pour préparer la prochaine attaque".

L'Iran est depuis des années connu pour la fréquence de ses cyberattaques. Mais depuis le début de la guerre avec les Etats-Unis et Israël, les pays du Golfe sont devenus une cible prioritaire du régime et de ses proxys, qui mènent une campagne agressive. Selon l'entreprise de cybersécurité Radware, les cibles au Moyen-Orient concentrent 76 % des attaques iraniennes - Koweït, Israël et Jordanie en tête. "Téhéran mène une guerre hybride, avec des opérations cyber synchronisées avec des frappes physiques", souligne Kathryn Raines, responsable de l’équipe de renseignement chez Flashpoint, une entreprise spécialisée dans la cybersécurité. Une convergence inquiétante, qui perdure alors que le conflit dure depuis près de trois semaines.

Les Iraniens, experts de la cyberguerre

L'Iran s'est doté de capacités cyber offensives au début des années 2010, à la suite du traumatisme de l'attaque israélienne Stuxnet. Le régime peut aujourd'hui compter sur les forces du puissant ministère du Renseignement, qui serait lié aux groupes Handala Hack et MuddyWater, tous les deux responsables d'importants piratages d'entreprises et d'organisations gouvernementales occidentales ces dernières années. D'autres acteurs sont directement liés aux Gardiens de la révolution, dont les Cyber Av3ngers, qui se sont fait une spécialité de hacker les systèmes d'approvisionnement en eau et en gaz, et ont ciblé les États-Unis, Israël, l'Union européenne et l'Australie.

"Il existe également un vaste écosystème de groupes hacktivistes pro‑iraniens", ajoute Raphaël Marichez, responsable scientifique France de Palo Alto. Cyber Islamic Resistance, 313 Team, DieNet, FAD Team, Dark Storm Team et d’autres jouent les intermédiaires. "Ils revendiquent des attaques DDoS, des fuites de données ou des intrusions dans des systèmes industriels tout en offrant à Téhéran l'option de nier leur implication".

Historiquement, Israël et les États-Unis étaient les principales cibles du régime. Mais les pays du Golfe ont déjà été visés par le passé. L'attaque Shamoon, lancée en août 2012, en plein Ramadan, contre l'entreprise pétrolière saoudienne Aramco, avait infecté plus de 30 000 ordinateurs, détruit les données, et suspendu les activités pendant une semaine. L'épisode avait été décrit à l'époque comme "le hack le plus important de l'histoire". L'entreprise qatarie RasGas avait été ciblée quelques jours plus tard, par le même virus, qui avait rendu son site et ses serveurs mail inaccessibles. Officiellement revendiquée par le groupe de hackers Cutting Sword of Justice, l'attaque a été attribuée à postériori à l'Iran par des chercheurs.

Les pays du Golfe, cibles faciles ?

Ces deux attaques ont ouvert les yeux de la région sur son impréparation. "Ils ont depuis amélioré leurs capacités, notamment en ce qui concerne les infrastructures critiques", note Cynthia Kaiser, vice-présidente du centre de recherche sur les ransomwares de Halcyon. "Les Émirats arabes unis et l'Arabie saoudite, qui ont leur propre industrie tech, ont beaucoup investi ces dernières années".

La situation est néanmoins plus contrastée "au niveau des entreprises", souligne Arthur Laudrain, chercheur en cybersécurité à l'École polytechnique fédérale de Zurich. Les grands groupes stratégiques de la région, notamment du secteur de l'énergie ou de la finance, ont développé leurs propres capacités défensives, ou ont passé des contrats avec des entreprises américaines. Mais les plus petites entreprises, les objets connectés et les sous-traitants restent peu protégés. Ce sont justement ces points faibles que les Iraniens visent.

Les premières attaques cyber ont eu lieu quelques heures après le début du conflit. D'après RadWare, le site du groupe télécoms israélien Bezeq tombe après une opération DDoS [NDLR : attaque par déni de service, qui consiste à surcharger les serveurs de demandes pour empêcher d'accéder au site] menée par le groupe hacktiviste Hider Nex. Des sites gouvernementaux du Qatar sont ensuite ciblés par DieNet. Le groupe frappe dans la foulée des entités privées et publiques à Bahreïn et aux Émirats arabes unis.

Fatimion Cyber Team a ainsi revendiqué plusieurs opérations à Bahreïn et au Qatar, et la FAD Team a affirmé avoir eu accès aux réseaux internes de cibles à La Mecque et à Médine, d'après une étude de Flashpoint. En Jordanie, ce sont des systèmes de gestion des silos à grain de plusieurs entreprises qui ont été visés. L'attaque, qui a pu être évitée, avait pour but d'augmenter la température des silos, ce qui aurait endommagé les réserves stratégiques du pays. Enfin, les sites des gouvernements du Koweït, d'Oman et de Bahreïn ont été visés par le groupe Keymous+, l'un des plus actifs depuis le début du conflit.

Que ce soit les réseaux électriques en Arabie saoudite, les data centers aux Émirats arabes unis, ou des infrastructures critiques à Bahreïn, le régime vise toute l'économie du Golfe. En combinant ces cyberattaques avec des frappes physiques, l'Iran porte un grand coup à ses voisins. "La cybersécurité classique et les sauvegardes dans le cloud ne servent à rien si des virus effacent les données du réseau au moment même où les data centers sont frappés par des missiles", analyse Kathryn Raines.

La guerre psychologique

La double pression cyber et physique complique la tâche des défenseurs. "Faire des mises à jour pour corriger des vulnérabilités est déjà compliqué en temps normal, car cela demande l’arrêt de certains services", pointe Gil Messing. "En temps de guerre, avec le stress et la peur, c’est encore plus difficile. Et certains ne s'étaient pas du tout préparés à ce scénario".

Pour renforcer le climat de peur, les groupes iraniens partagent leur succès de manière très publique sur les réseaux sociaux ou les forums de hackers. Des images de réseaux internes d'entreprise israéliennes, que L'Express a pu consulter, ont ainsi été publiées sur le groupe Telegram "Cyber Islamic Resistance". Handala a partagé sur X (ex-Twitter) des vidéos montrant des documents internes de Manaseer Oil And Gas, une entreprise jordanienne de stations-service. Le groupe pétrolier émirati Snoc a également été visé par ces hackers, qui ont publié sur leur site des données cartographiques et des certificats d'intégrités pour les pipelines.

Quitte à exagérer leurs victoires : Handala a publié des schémas censés appartenir à Aramco, en indiquant que "l'intégralité de l'infrastructure" de l'entreprise avait été détruite, et que "l'extraction et le raffinage de pétrole avaient complètement cessé" le 3 mars. Il n'en était rien : malgré des frappes de drones sur une raffinerie d'Aramco le 2 mars, la production globale n'a pas été menacée. "Ils peuvent n'avoir eu accès qu'à une seule machine, mais ils sont très doués pour mentir, et prétendre qu'ils ont été capables d'infecter tout le réseau", indique Cynthia Kaiser.

L'Iran reçoit également de l'aide de la part des groupes de hackers alignés sur la Russie. "Ils sont particulièrement actifs contre Israël, avec des attaques de type déni de service", rajoute l'experte. Flashpoint souligne que le groupe NoName057 a notamment revendiqué des attaques DDoS visant Mekorot, la compagnie gestionnaire des eaux israélienne, le droniste Emit Aviation, et de nombreuses cibles gouvernementales chypriotes, dont le site du ministère de la Justice et celui des Autorités portuaires. NoName057 s'est également attaqué à l'Europe, en ciblant des sites gouvernementaux au Danemark, en Allemagne et en Espagne. Enfin, la Pologne a révélé avoir évité une cyberattaque lancée contre une de ses centrales nucléaires, et soupçonne l'Iran d'être derrière la tentative de piratage.

D'autres groupes profitent du brouillard de la guerre pour lancer leurs attaques. "Le Qatar est particulièrement visé par des acteurs chinois", expose Gil Messing. Le 1er mars, au lendemain du début de la guerre, CheckPoint a repéré l'acteur chinois Camaro Dragon en train d'utiliser de fausses photos de bâtiments détruits à Bahreïn comme appât lors d'une campagne de phishing. Cliquer sur la photo installait un virus qui volait les informations et permettait aux hackers de prendre le contrôle de l'appareil.

Les attaques perdurent

Les hackers de Téhéran ont été l'une des premières cibles des frappes américaines. "Plusieurs quartiers généraux des gardiens de la révolution ont été visés, dont le service de l'Electronic Warfare and Cyber Defense Organization", signale Maxime Arquillière, chercheur en cybersécurité chez Sekoia. Le service de renseignement des Gardiens de la révolution, connu pour lancer des opérations cyber, a été touché. "Mais ils n'ont pas tous été détruits".

La chaîne de commandement des groupes militaires, très décentralisée, permet aux attaques de continuer. "Ce sont des groupes très résilients : ils n'ont pas besoin de grand-chose pour lancer des cyberattaques", poursuit Maxime Arquillière. Une simple connexion Internet leur permet de réactiver leurs serveurs sur le cloud et de frapper leurs cibles. "Ce n'est pas quelque chose qu'on peut totalement arrêter avec des frappes aériennes".