«On n'a rien vu de majeur au cours de ce dernier mois, pas de grosse attaque cyber», note David Grout de l'entreprise de sécurité informatique FireEye. «Concernant l'Iran, on a seulement vu des campagnes d'influence et de petites attaques relativement simples d'un point de vue technique.»
De fait, le seul acte d'agression est une attaque du site du Federal Depositary Library Program. Le site web a été piraté et a, pendant un court moment, affiché un drapeau iranien et l'ayatollah Ali Khamenei, accompagnés de messages de menaces –un assaut relevant du vandalisme numérique plutôt que d'une véritable cyberattaque. «On pense que ce ne serait pas des hackers soutenus par l'État. Donc on pencherait plutôt –mais on reste au conditionnel parce que l'attribution est toujours délicate– pour des sympathisants que pour des groupes de hackers agissant réellement pour le compte de l'État.»
De réelles capacités de cyberattaque
Pourtant, les capacités de l'Iran dans le domaine du cyber sont vastes. En 2010, le pays avait dû faire face à l'une des cyberattaques les plus importantes de l'histoire récente avec le ver informatique Stuxnet, qui avait pour vocation de détruire les centrifugeuses iraniennes d'enrichissement en uranium. Le programme nucléaire iranien aurait ainsi été retardé de plusieurs années. Stuxnet aurait été conjointement conçu par les États-Unis et Israël.
Après cet épisode, l'Iran s'est mis en ordre de bataille pour pouvoir répliquer et attaquer en investissant massivement dans le cyber. Depuis, Téhéran est accusée d'avoir commis de nombreuses attaques, comme en 2014 lorsque des hackers iraniens avaient frappé la société Las Vegas Sands après que le propriétaire, Sheldon Adelson, a suggéré une frappe nucléaire sur le pays. Il s'agirait de la seule attaque connue sur le terrain américain.
«Depuis deux ans, l'Iran est particulièrement agressif», remarque David Grout. On peut effectivement citer l'attaque de la compagnie pétrolière Saudi Aramco en 2017 à l'aide du virus Shamoon, si dévastateur que le réseau a dû être quasiment reconstruit à partir de zéro.
En décembre 2018, la compagnie pétrolière italienne Saipem a également fait les frais d'une cyberattaque iranienne. Il y a quelques mois, Dragos et d'autres entreprises de sécurité comme FireEye ou Crowdstrike ont pu observer des groupes de hackers iraniens comme APT 33 (aussi connu sous le nom de Magnallium ou Refined Kitten) à la recherche de points d'entrée sur des cibles potentielles aux États-Unis, notamment les principaux fabricants et opérateurs de systèmes de contrôle industriel utilisés par les réseaux électriques et les raffineries pétrolières.
Les actions d'APT33, groupe soutenu par l'Iran, peuvent s'inscrire dans une démarche de cyberespionnage, de repérage pour une future attaque de grande ampleur, ou encore constituer un moyen de pression sur les États-Unis.
«Néanmoins, les États-Unis sont plutôt bien protégés. Personne n'est infaillible, mais ils sont une puissance cyber», précise Grout. Julien Nocetti, chercheur associé à l'Institut français des relations internationales (IFRI), spécialiste en cybersécurité, est plus tempéré. «Sur le plan de la résilience des infrastructures, les États-Unis ne sont pas mal placés, même s'il y a des disparités régionales», explique-t-il.
«On pense avant tout aux infrastructures clés comme la côte Est et la Silicon Valley, mais entre les deux, vous avez un pays qui a parfois des structures télécoms ou énergétiques assez vétustes, dans des zones rurales, dans des zones montagneuses difficiles d'accès. C'est là qu'il faudrait voir s'il n'y a pas de vulnérabilités exploitables par les Iraniens.»
Scénarios multiples
Le scénario catastrophe d'une cyberattaque sur une infrastructure critique, c'est-à-dire touchant à des domaines comme le système d'eau, d'électricité ou de télécommunications, semble donc possible. Peu probable, mais possible. Un éventail complet d'attaques sophistiquées se trouve à la disposition de Téhéran pour venger la mort du général Soleimani. Et pourtant… rien. À ce jour, aucune réelle cyberattaque n'a été recensée.
Ce que Pablo Rauzy, maître de conférences en informatique à l'université Paris 8, explique en évoquant le paramètre du temps. «N'importe quelle attaque d'ampleur prend du temps à mettre en place, et ce n'est pas spécifique au cyberespace. Mais en l'occurrence, il faut faire tout le repérage, l'étude, l'analyse, la mise en œuvre, développer les codes qui permettent d'exploiter les failles, mener l'attaque. C'est vraiment tout un temps de préparation qui peut être parfois long.»
Pour Julien Nocetti, une hypothétique réplique iranienne aurait plutôt tendance à se dérouler loin du sol américain et frapperait les allié·es et les intérêts américains au Moyen-Orient. «Les pays du Golfe seront ciblés. Dans une logique de rivalités entre l'Iran et l'Arabie saoudite, on peut légitimement penser que les intérêts saoudiens seront dans la ligne de mire. Les Émirats arabes unis aussi, et également Israël, évidemment. On peut aussi songer à différentes bases américaines de la région, surtout en Irak et en Turquie.»
L'autre variable à prendre en compte serait la possibilité d'une alliance entre l'Iran et un autre pays. «On peut penser que l'Iran pourra faire alliance avec la Chine ou la Russie», analyse Julien Nocetti. «Ça pourra déterminer l'avenir de l'Iran comme cyberpuissance. La Russie et l'Iran sont partenaires sur d'autres secteurs, au niveau de l'armement, ils font des entraînements en commun etc. Sur le terrain du cyber, les Russes ont une vraie expertise que les Iraniens n'ont pas.»
Selon le chercheur, les Russes essaieront d'encadrer l'Iran sur les opérations cybers pour qu'à terme, elles ne débordent pas du cadre régional et ne contreviennent pas aux intérêts de la mère patrie.
Tensions internes
Quoi qu'il en soit, tous les scénarios, même un mois après la mort de Soleimani, restent envisageables. Mais l'Iran aurait-il intérêt à attaquer les États-Unis via une cyberattaque?
Pour comprendre la totalité de l'équation iranienne, Julien Nocetti attire l'attention sur la prise en compte du facteur intérieur. «Le système politique iranien est bien plus complexe qu'on peut le croire au premier abord. Il y a des jeux de rivalités, de clans». Il poursuit: «La mort du général Soleimani a réveillé certaines tensions dans l'appareil d'État, ce qui peut possiblement mettre en sourdine des réponses cybers. C'est difficile à percevoir, mais s'il y a eu une discrétion aussi visible depuis un mois sur le plan du cyber notamment, c'est peut-être le fait de capacités amoindries par des rivalités de clans.»
Une hypothèse partagée par David Grout. «Aujourd'hui, il est clair que les Iraniens ont des capacités pour faire des choses, ils l'ont démontré, ils sont actifs, ils sont structurés. Depuis deux ans, il a été prouvé sur le terrain qu'ils ont eu des actions en cyberespionnage et de cybersabotage, donc il n'y a pas de doutes sur leurs capacités. Après, la question du calendrier des cyberattaques peut aussi s'aligner sur la vie politique, ce qui aura un impact sur le ralentissement ou l'accélération du risque sur un plan cyber.»
D'autant que l'Iran verra la tenue de ses élections législatives le 21 février, rappelle Grout. «On est dans un contexte où il y a eu des manifestations, où le pouvoir vacille sur fond de crise économique avec les sanctions. Je pense que la priorité de l'Iran est de calmer des tensions internes. Donc entreprendre des actions qui pourraient mener à une nouvelle escalade avec les Américains, je ne suis pas certain que ce soit ce dont l'Iran ait besoin, la discrétion des autorités iraniennes est peut-être le fruit d'un contexte électoral...»
Rendez-vous est donc pris le 21 février, pour voir si un nouveau chapitre de la cyberguerre entre les États-Unis et Iran commencera à s'écrire –une attaque massive, début février, contre les infrastructures iraniennes prouve que les tensions sont déjà vives.
