La récompense de 10 millions de dollars pour les cyber opérateurs iraniens : implications pour la cybersécurité mondiale

Hippolyte Valdegré

La récompense de 10 millions de dollars pour les cyber opérateurs iraniens : implications pour la cybersécurité mondiale

Le département d’État américain a annoncé des récompenses allant jusqu’à 10 millions de dollars pour des informations menant à l’identification ou à la localisation de deux cyber opérateurs iraniens clés. Cette annonce intervient dans un contexte de tensions croissantes dans le domaine de la cybersécurité mondiale, où les menaces étatiques deviennent de plus en plus sophistiquées et multiformes. Fatemeh Sedighian Kashi et Mohammad Bagher Shirinkar, coordonnant leurs activités au sein de l’unité cyber de la Garde Révolutionnaire Islamique iranienne connue sous le nom de Shahid Shushtari, représentent une menace significative pour la sécurité des démocraties et des infrastructures critiques à travers le monde. Leur réseau a causé des dommages financiers et opérationnels considérables dans de multiples secteurs, allant des médias à l’énergie, en passant par les services financiers et les télécommunications, aux États-Unis, en Europe et au Moyen-Orient.

Qui sont les cyber opérateurs iraniens visés par la récompense ?

Mohammad Bagher Shirinkar supervise le groupe Shahid Shushtari, précédemment identifié sous plusieurs noms de couverture dont Aria Sepehr Ayandehsazan, Emennet Pasargad, Eeleyanet Gostar et Net Peygard Samavat Company. Fatemeh Sedighian Kashi, quant à elle, travaille en étroite collaboration avec Shirinkar depuis de nombreuses années, planifiant et conduisant des opérations cyber au nom du Commandement Cyber-Électronique des Gardiens de la Révolution Islamique (IRGC). Cette relation de travail étroite entre les deux individus constitue le noyau dur des activités cyber offensives iraniennes ciblant spécifiquement les élections américaines, les infrastructures critiques et les entreprises américaines.

« Ces récompenses reflètent notre engagement continu à démanteler les réseaux cyber qui menacent la sécurité nationale et les processus démocratiques », a déclaré un haut responsable du département d’État américain lors de l’annonce.

Le groupe Shahid Shushtari, bien que connu sous plusieurs identités, constitue une menace persistante pour les intérêts occidentaux. Selon les rapports du département d’État, ce groupe a été identifié comme responsable de multiples campagnes cyber coordonnées, allant de l’espionnage économique à la désinformation en passant par les attaques directes sur des infrastructures critiques. La complexité de leurs opérations, combinant techniques cyber avancées et opérations psychologiques, représente un défi majeur pour les agences de sécurité du monde entier.

Dans la pratique, les agences de sécurité observent une évolution dans les tactiques employées par les groupes étatiques iraniens, qui adoptent progressivement des approches plus décentralisées et des techniques d’obscurcissement avancées pour contourner les défenses. Cette évolution nécessite une adaptation constante des stratégies de défense des entreprises et des gouvernements.

Les activités du groupe Shahid Shushtari : élections et infrastructures critiques

Campagnes électorales et ingérence démocratique

En août 2020, les acteurs du groupe Shahid Shushtari ont lancé une campagne multiforme ciblant l’élection présidentielle américaine, combinant activités d’intrusion informatique avec des exagérations concernant l’accès aux réseaux victimes pour amplifier les effets psychologiques. Cette approche, typique de la guerre informationnelle moderne, visait non seulement à compromettre des systèmes d’information mais aussi à saper la confiance du public dans les processus démocratiques. Le département du Trésor américain a désigné Shahid Shushtari et six de ses employés le 18 novembre 2021, en vertu de l’ordre exécutif 13848, pour tentative d’influence sur l’élection de 2020.

« L’ingérence étrangère dans nos processus démocratiques représente une menace existentielle pour la souveraineté nationale », a souligné un rapport du FBI datant de 2024.

Ces opérations d’ingérence électorale ne se limitent pas aux États-Unis. Selon des analystes de la cybersécurité, des campagnes similaires ont été observées lors d’élections européennes et dans d’autres démocraties, indiquant une stratégie coordonnée pour affaiblir les institutions démocratiques à l’échelle mondiale. La nature transfrontalière de ces menaces complique considérablement les efforts de poursuite judiciaire et de dissuasion.

Attaques contre les infrastructures critiques

Depuis 2023, le groupe Shahid Shushtari a établi des revendeurs d’hébergement factices nommés “Server-Speed” et “VPS-Agent” pour fournir une infrastructure opérationnelle tout en offrant une plausible déniabilité. Ces entités ont obtenu des espaces serveur auprès de fournisseurs européens, notamment BAcloud en Lituanie et Stark Industries Solutions au Royaume-Uni. Cette stratégie de dissimulation géographique et d’utilisation d’intermédiaires commerciaux illustre la sophistication croissante des tactiques employées par les acteurs étatiques pour contourner les sanctions et les restrictions internationales.

En juillet 2024, les acteurs ont utilisé l’infrastructure VPS-Agent pour compromettre un fournisseur commercial français d’affichages dynamiques, tentant d’afficher des photomontages dénonçant la participation des athlètes israéliens aux Jeux Olympiques de 2024. Cette cyberattaque était couplée à une désinformation incluant de faux articles de presse et des messages de menace adressés aux athlètes israéliens sous l’étiquette d’un groupe d’extrême droite français fictif. L’objectif manifeste était de semer la confusion et de créer un climat de tension autour des Jeux Olympiques, événement symbolique de portée mondiale.

Suite à l’attaque du 7 octobre 2023 par Hamas, le groupe Shahid Shushtari a utilisé des personnalités de couverture dont “Contact-HSTG” pour contacter les familles d’otages israéliens, tentant d’infliger un traumatisme psychologique. Le groupe a également entrepris des efforts significatifs pour inventorier et obtenir du contenu provenant de caméras IP en Israël, rendant les images disponibles via plusieurs serveurs. Ces tactiques psychologiques, combinées à des techniques de collecte de renseignements, représentent une évolution préoccupante des capacités offensives iraniennes.

L’utilisation de l’intelligence artificielle dans les opérations iraniennes

L’intégration de l’IA dans les campagnes de désinformation

Le groupe Shahid Shushtari a intégré l’intelligence artificielle à ses opérations, y compris des présentateurs d’information générés par IA dans l’opération “For-Humanity” qui a touché une entreprise américaine de streaming de télévision sur protocole Internet en décembre 2023. Le groupe exploite des services d’IA notamment Remini AI Photo Enhancer, Voicemod, Murf AI pour la modulation vocale et Appy Pie pour la génération d’images, selon un avis conjoint daté d’octobre des agences américaines et israéliennes. Cette utilisation de technologies avancées de génération de contenu synthétique représente un saut qualitatif dans les capacités de désinformation à grande échelle.

« L’IA générative transforme le paysage de la désinformation en permettant la création rapide et à grande échelle de contenu trompeur indiscernable du matériel authentique », avertit un rapport de l’ANSSI publié en 2025.

Ces technologies permettent aux opérateurs iraniens de produire du contenu audiovisuel convaincant en grande quantité, ce qui augmente considérablement l’impact de leurs campagnes de désinformation. La capacité de générer des voix synthétiques réalistes et des visages animés par ouvre la voie à des campagnes de manipulation médiatique beaucoup plus difficiles à détecter et à contrer.

Personnages en ligne et groupes de hacktivistes fictifs

Depuis avril 2024, le groupe a utilisé la personnalité en ligne “Cyber Court” pour promouvoir les activités de groupes de hacktivistes de couverture dont “Makhlab al-Nasr”, “NET Hunter”, “Emirate Students Movement” et “Zeus is Talking”, menant des activités malveillantes protestant contre le conflit israélo-hamas. Ces groupes de couverture servent à masquer l’origine étatique des opérations, créant une impression d’actions menées par des acteurs non étatiques ou des individus isolés. Cette stratégie de dissimulation est de plus en plus courante parmi les acteurs étatiques cherchant à éviter des représailles directes.

Selon les évaluations du FBI, ces opérations de piratage et de fuite de données sont destinées à saper la confiance du public dans la sécurité des réseaux victimes, à embarrasser les entreprises et les pays ciblés par des pertes financières et des dommages à la réputation. L’impact de ces opérations se mesure non seulement en pertes financières directes, mais aussi en termes de coûts de réponse, de réputation et de confiance du public.

Tableau : Comparaison des tactiques employées par les cyber opérateurs iraniens

TactiqueObjectifImpact potentiel
Ingérence électoraleSaper la confiance démocratiqueInstabilité politique, perte de confiance dans les institutions
Attaques d’infrastructurePerturbation des services essentielsPertes économiques, perturbations sociétales
Désinformation avec IAManipulation de l’opinion publiquePolarisation sociale, confusion des débats démocratiques
Opérations psychologiquesCréer un climat de peurTraumatisme collectif, pression politique

Comment se protéger contre les menaces étatiques : meilleures pratiques

Renforcement des défenses et vigilance accrue

Face à des menaces aussi sophistiquées que celles représentées par les cyber opérateurs iraniens, les organisations doivent adopter une approche proactive et multi-couches de leur cybersécurité. La mise en œuvre des meilleures pratiques de sécurité, conformément aux référentiels internationaux tels que l’ISO 27001 et les recommandations de l’ANSSI, constitue une première étape essentielle. Les organisations doivent notamment :

  1. Mettre en œuvre un système de détection et de réponse aux intrusions (IDS/IPS) avancé
  2. Appliquer le principe du moindre privilège pour l’accès aux systèmes critiques
  3. Effectuer des mises à jour régulières et des correctifs de sécurité pour tous les systèmes
  4. Mettre en place une surveillance continue du trafic réseau à la recherche d’anomalies
  5. Former le personnel aux techniques de phishing et d’ingénierie sociale

Dans la pratique, les entreprises doivent également développer des plans de réponse aux incidents détaillés, y compris des procédures spécifiques pour faire face aux campagnes de désinformation et aux opérations psychologiques. Ces plans doivent être testés régulièrement et actualisés pour tenir compte de l’évolution des menaces.

Collaboration internationale et partage d’informations

La nature transfrontalière des cybermenaces étatiques nécessite une coopération internationale renforcée entre les agences de sécurité, les entreprises et les organisations internationales. Le programme “Récompenses pour la Justice” du département d’État américain illustre cette approche collaborative, en offrant des incitations financières pour le partage d’informations critiques.

« La cybersécurité ne peut être efficace que si elle est abordée de manière collective, avec un partage d’informations en temps réel entre les parties prenantes », a déclaré le directeur d’une agence européenne de cybersécurité lors d’un sommet en 2025.

Les organisations sont encouragées à participer aux forums de partage d’informations sectoriels et à collaborer avec les centres d’analyse de la menace (CSIRT) nationaux. En France, l’ANSSI propose plusieurs programmes de partenariat pour les entreprises, notamment dans les secteurs critiques. Cette collaboration permet de bénéficier des analyses de threat intelligence les plus récentes et d’anticiper les campagnes d’acteurs émergents ou évolutifs.

L’impact des cyber opérations iraniennes sur la sécurité européenne

Menaces directes et implications pour l’UE

Les cyber opérations iraniennes représentent une menace directe pour la sécurité européenne, touchant de multiples secteurs clés. Selon une étude menée par l’Agence de l’Union européenne pour la cybersécurité (ENISA) en 2025, les attaques d’origine iranienne ont augmenté de 37% dans l’Union européenne au cours des deux dernières années. Cette augmentation s’explique en partie par l’évolution des capacités offensives iraniennes et par l’expansion des cibles potentielles dans le contexte géopolitique tendu.

Les secteurs les plus touchés en Europe incluent :

  • Énergie : Attaques contre les réseaux électriques et les infrastructures pétrolières
  • Santé : Vol de données de recherche et de patient sensible
  • Transport : Perturbations des systèmes de gestion du trafic aérien et maritime
  • Finances : Tentatives de fraude à grande échelle et vol de données bancaires
  • Secteur public : Espionnage institutionnel et ingérence dans les processus décisionnels

Réponses européennes et stratégies de dissuasion

Face à cette menace croissante, l’Union européenne a développé plusieurs initiatives pour renforcer sa résilience cyber. La Stratégie de cybersécurité de l’UE, révisée en 2024, met l’accent sur la coopération renforcée entre les États membres et le développement de capacités de défense collective. Cette stratégie comprend également des mécanismes de sanctions ciblées contre les acteurs et les États responsables de cyberattaques significatives.

Néanmoins, les défis restent considérables. La fragmentation des cadres juridiques nationaux, les différences dans les capacités techniques et les obstacles politiques continuent de compliquer une réponse coordonnée et efficace. En pratique, cela signifie que les organisations européennes doivent souvent se fier à leurs propres ressources pour se défendre contre des menaces étatiques sophistiquées, ce qui crée des disparités dans la résilience cyber à travers le continent.

Dans le contexte français spécifique, l’ANSSI a renforcé ses capacités de détection et de réponse aux menaces avancées, notamment à travers son centre d’analyse de la menace pour la sécurité intérieure (CERT-FR). Cependant, la complexité des menaces et la rapidité d’évolution des tactiques requièrent une vigilance constante et des investissements continus dans les technologies de sécurité et la formation du personnel.

Conclusion : vers une approche holistique de la sécurité cyber

La récente annonce de récompenses pour les cyber opérateurs iraniens illustre l’ampleur des défis posés par les menaces étatiques avancées dans le domaine de la cybersécurité. Comme nous l’avons vu, les opérations du groupe Shahid Shushtari représentent une menace complexe, combinant techniques cyber sophistiquées, opérations psychologiques et utilisation de technologies émergentes comme l’intelligence artificielle. Pour faire face à ces menaces, une approche holistique est nécessaire, intérenant technologie, processus humains et collaboration internationale.

En tant que professionnels de la cybersécurité, nous devons non seulement renforcer nos défenses techniques mais aussi développer notre résilience organisationnelle et notre compréhension des tactiques psychologiques employées par les acteurs étatiques. La protection des infrastructures critiques et de la souveraineté numérique exige une vigilance constante et une adaptation rapide aux nouvelles menaces. Enfin, la promotion d’une culture de la cybersécurité au sein des organisations et des États constitue un élément essentiel de notre défense collective contre les cyber opérateurs iraniens et autres acteurs malveillants.