Lorsque les attaques ont frappé Téhéran samedi matin, des millions d’Iraniens ont reçu une étrange notification sur leur téléphone. L’application de prière BadeSaba Calendar, qui compte plus de 5 millions de téléchargements, a été compromise et l’application a émis des alertes disant : « L’aide est arrivée ! et ont appelé à une « Armée populaire » pour défendre leurs « frères iraniens », selon une évaluation de la société de cyber-renseignement Flashpoint. Dimanche, l’application a envoyé des instructions de reddition aux membres de base du Corps des Gardiens de la révolution islamique et des lieux sûrs pour que les manifestants puissent se rassembler.
Les loyalistes du régime ont alors rapidement contre-attaqué.
Selon Flashpoint, ce qui a suivi dimanche a été l’utilisation « la plus agressive » à ce jour de ce que l’on appelle la cyber-campagne iranienne « Grand Epic », qui est un groupe de cyber-opérateurs vaguement coordonnés sous un canal appelé « Cyber-Résistance islamique ». Sous l’égide du groupe, plusieurs cyber-attaquants ont fermé des stations-service en Jordanie et mené des attaques contre des fournisseurs militaires américains et israéliens pour détruire des données et mener des opérations psychologiques imitant le piratage de BadeSaba.
Les prochaines 48 heures seront probablement une période « d’extrême volatilité » alors que les hacktivistes et leurs mandataires « prendront l’initiative de l’escalade pour combler le vide laissé par le commandement central de Téhéran », a noté Flashpoint dans une mise à jour. Ces acteurs utiliseraient Telegram et Reddit comme centre de coordination, publiant des captures d’écran d’attaques présumées comme preuve, bien qu’il faille des semaines, voire des mois, pour vérifier l’exactitude, a déclaré Kathryn Raines, une ancienne experte de la NSA qui dirige désormais l’équipe de renseignement sur les menaces chez Flashpoint.
Le piratage de BadeSaba démontre le modèle que les groupes mandataires iraniens pourraient désormais tenter de mettre en œuvre à l’envers contre les entreprises occidentales et autres. En outre, les dirigeants iraniens étant effectivement décimés par les attaques de samedi, la structure de commandement qui supervisait les cyber-opérations de Téhéran a pratiquement disparu, a déclaré Raines.
« Le vide du leadership iranien conduira probablement à des attaques par procuration plus décentralisées et imprévisibles », a-t-il déclaré à Fortune.
En pratique, cela signifie que les hacktivistes et les groupes mandataires prennent leurs propres décisions concernant leurs cibles, sans l’approbation des autorités centrales. Ainsi, si un groupe très agressif décide d’attaquer une entreprise de logistique de taille moyenne pour faire une déclaration, le risque s’étend au-delà de Téhéran, Washington, D.C. ou New York, a déclaré Raines.
“Il est entre les mains d’un hacker de 19 ans dans une salle Telegram sans surveillance ni direction”, a-t-il prévenu.
En conséquence, les chefs d’entreprise américains doivent se préparer à une incertitude persistante, a déclaré Brian Carbaugh, co-fondateur et PDG de la société de sécurité basée sur l’IA Andesite et ancien directeur du Centre d’activités spéciales (SAC) d’élite de la CIA. Les Iraniens ont constamment prouvé au fil des années qu’ils étaient incroyablement résilients en tant que gouvernement et force de résistance. Et puisque le régime bombarde ses voisins, les gens doivent s’attendre à ce que l’Iran continue de déployer ses formidables cybercapacités offensives, en plus d’autres aspects de sa puissance nationale comme ses missiles et ses mandataires armés dans le monde entier, a-t-il déclaré.
« La résistance agressive et créative est ancrée dans la philosophie de l’appareil de sécurité iranien et dans toute la République islamique d’Iran », a déclaré Carbaugh, qui a auparavant été chef de cabinet de deux directeurs de la CIA. “Les chefs d’entreprise et ceux qui protègent les entreprises et prennent des décisions à un niveau très élevé doivent être préparés à ce que cela continue pendant un certain temps et à ce que le conflit prenne des directions différentes et s’écarte du chemin.”
Alors que les attaques américaines et israéliennes dégradent les capacités militaires conventionnelles de l’Iran, les cyberattaques semblent plus attrayantes, a déclaré Carbaugh. Sa mise en œuvre est peu coûteuse, difficile à attribuer et extrêmement susceptible de créer d’énormes perturbations psychologiques et opérationnelles par rapport à l’investissement requis. L’Iran a démontré qu’il est capable d’imiter et de tirer parti des méthodes de cyberattaque démontrées pour la première fois par la Russie, par exemple.
“La République islamique a toujours été très fière des cybercapacités de ses services de sécurité”, a déclaré Carbaugh. Cette fierté ne s’évaporera probablement pas avec la perte des hauts dirigeants et pourrait s’intensifier à mesure que les autres options se rétrécissent.
Selon Raines, la plupart des plans de sécurité des entreprises ne sont pas prêts à faire face à des attaques comme le piratage de BadeSaba, qui a envoyé une notification à potentiellement des millions de musulmans en Iran qui utilisent l’application pour suivre leurs horaires religieux quotidiens au moment où les attaques ont commencé.
“Les entreprises ne sont pas vraiment préparées à ce que j’appellerai des opérations psychologiques nihilistes qui visent en réalité à attaquer l’état mental et la confiance de leurs salariés”, a-t-il expliqué, les comparant à des attaques destinées à voler des données et à désactiver des systèmes.
Peu d’entreprises ont des plans sur ce que sera la réalité pour les employés dans les heures à venir, tandis que les modèles de risque sont souvent basés sur le comportement de l’État et supposent des « lignes rouges » qui évitent une guerre totale, a déclaré Raines.
Lors de la réunion des conseils d’administration et des cadres supérieurs la semaine prochaine, les questions clés pour les responsables de la sécurité porteront sur la durée maximale pendant laquelle les fonctions commerciales peuvent être hors ligne avant que cela ait un impact sur les revenus et la réputation, a-t-il prédit.
“Nous sommes moins intéressés par le taux d’accidents que par le temps de récupération”, a déclaré Raines.
Carbaugh a déclaré que s’il assistait à une réunion du conseil d’administration cette semaine, il voudrait savoir si l’entreprise présente un niveau de risque élevé en fonction de ce qui se passe en Iran. Si la réponse est oui, vous aimeriez savoir ce qui est fait pour l’atténuer. Si la réponse est non, je poserais encore plus de questions.
Les dirigeants devraient découvrir quelles mesures ont été prises pour garantir que les entreprises ne courent aucun risque, découvrir comment les entreprises ont collaboré avec leurs partenaires et autres pour savoir comment elles détectent les attaques, et comment l’IA est actuellement utilisée pour ce faire, a déclaré Carbaugh.
Il a réitéré qu’il ne s’agit pas d’une crise avec une résolution à court terme et qu’elle entraîne un cyber-risque qui ne se dissipera pas immédiatement.
“Ce conflit pourrait prendre de nombreuses tournures et aller dans de nombreuses directions différentes”, a déclaré Carbaugh. “Je ne pense pas que ce soit une question que nous allons régler proprement et laisser derrière nous en quelques jours. Cela nécessitera une vigilance et une protection constantes de nos cyber-réseaux, de notre sécurité physique et de tous les autres actifs.”
