Des millions d’Iraniens ont reçu d’étranges notifications push sur leur téléphone alors que Téhéran était frappé par une frappe samedi matin. BadeSaba Calendar, une application de prière téléchargée plus de 5 millions de fois, a été compromise et l’application a émis un avertissement : « L’aide est arrivée ! » Il a appelé à la formation d’une « armée populaire » pour protéger les « frères iraniens », selon une évaluation de la société de cyber-renseignement Flashpoint. Dimanche, l’application a envoyé des instructions de reddition aux membres de base du Corps des Gardiens de la révolution islamique et des lieux sûrs pour que les manifestants puissent se rassembler.
Les partisans du régime ont alors rapidement riposté.
Ce qui a suivi dimanche a été l’utilisation « la plus agressive » à ce jour de ce que l’on appelle la cyber-campagne iranienne « Great Epic », un groupe de cyber-agents vaguement affiliés sous un canal appelé « Cyber Islamic Resistance », selon Flashpoint. Sous l’égide du groupe, divers cyberattaquants ont fermé des stations-service en Jordanie, mené des attaques contre des fournisseurs militaires américains et israéliens pour détruire des données et mené des opérations psychologiques imitant le piratage de Badesaba.
Les prochaines 48 heures seront probablement une période « d’extrême instabilité », avec des hacktivistes et des mandataires « à la tête de l’escalade pour combler le vide laissé par le commandement central de Téhéran », a déclaré Flashpoint dans une mise à jour. Ces attaquants utiliseraient Telegram et Reddit comme centres de coordination, publiant des captures d’écran d’attaques présumées comme preuve, mais cela peut prendre des semaines, voire des mois, pour vérifier leur exactitude, a déclaré Kathryn Raines, ancienne experte de la NSA et actuelle chef d’équipe de renseignement sur les menaces chez Flashpoint.
Le piratage de BadeSaba représente un modèle que des groupes mandataires iraniens pourraient tenter de déployer contre des entreprises occidentales et autres. De plus, parce que l’attaque de samedi a effectivement anéanti le leadership iranien, la chaîne de commandement qui supervisait les cyber-opérations de Téhéran a effectivement disparu, a déclaré Raines.
« Le vide de leadership de l’Iran conduira probablement à des attaques par procuration distribuées plus imprévisibles », a-t-elle déclaré à Fortune.
En pratique, cela signifie que des hacktivistes coordonnés et des groupes mandataires prennent des décisions de ciblage de manière indépendante, sans l’approbation des autorités centrales. Ainsi, si un groupe très agressif décidait d’attaquer une entreprise de logistique de taille moyenne pour faire une déclaration, le risque se propagerait au-delà de Téhéran, de Washington, D.C. ou de New York, a déclaré Raines.
« C’est entre les mains d’un hacker de 19 ans dans une salle de Telegram, sans surveillance ni direction », a-t-elle prévenu.
Par conséquent, les chefs d’entreprise américains doivent se préparer à une incertitude persistante, a déclaré Brian Carbaugh, co-fondateur et PDG de la société de sécurité basée sur l’IA Andesight et ancien directeur du Centre d’activités spéciales (SAC) d’élite de la CIA. Les Iraniens ont constamment montré au fil des années qu’ils étaient incroyablement résilients en tant que gouvernement et force de résistance. Et compte tenu des bombardements du régime sur ses voisins, a-t-il déclaré, l’opinion publique devrait s’attendre à ce que l’Iran continue de déployer ses formidables capacités de cyberattaque dans le monde entier, en plus d’autres aspects de sa puissance nationale, tels que les missiles et les agents armés.
« La résistance offensive et créative est ancrée dans la philosophie des services de sécurité iraniens et de la République islamique d’Iran dans son ensemble », a déclaré Karbaugh, qui a auparavant été chef de cabinet de deux directeurs de la CIA. « Les chefs d’entreprise et les personnes qui protègent les entreprises et prennent les décisions aux plus hauts niveaux doivent être préparés à ce que cette situation perdure pendant un certain temps et à ce que le conflit prenne des directions très différentes et dévier de sa trajectoire. »
Alors que les attaques américaines et israéliennes réduisent les capacités militaires conventionnelles de l’Iran, les cyberattaques semblent plus attrayantes, a déclaré Karbaugh. Ils ont de faibles coûts de mise en œuvre, sont difficiles à identifier et sont bien plus susceptibles de provoquer des perturbations psychologiques et opérationnelles importantes par rapport à l’investissement requis. L’Iran, par exemple, a montré qu’il pouvait imiter et s’appuyer sur les techniques de cyberattaque démontrées pour la première fois par la Russie.
« La République islamique a toujours été très fière des cybercapacités de ses services de sécurité », a déclaré Karbo. Il est peu probable que cette fierté disparaisse avec le départ d’un haut dirigeant, et elle pourrait s’intensifier à mesure que les autres options se rétrécissent.
Raines a déclaré que les plans de sécurité de la plupart des entreprises ne sont pas préparés à des attaques telles que le piratage de BadeSaba. Le piratage a envoyé une notification à des millions de musulmans en Iran qui pourraient utiliser l’application pour suivre leurs horaires religieux quotidiens au moment où l’attaque a commencé.
« Les entreprises sont moins préparées à ce que j’appelle des opérations psychologiques nihilistes qui visent en réalité à cibler l’état mental et la confiance des salariés », a-t-elle expliqué, en les comparant aux attaques visant à voler des données et à désactiver les systèmes.
Cela peut apparaître dans des entreprises telles que : Le personnel de la Bay Area commence à recevoir ce qui semble être de faux sons provenant de dirigeants et de PDG locaux, ou ce qui semble être des messages d’urgence prétendant être des communications concernant l’évacuation de l’entreprise. Mais avec les informations locales hors ligne et la médiocrité du service Internet, les gens ont peu de possibilités de vérifier les faits.
Alors que peu d’entreprises prévoient ce que sera la réalité pour leurs employés dans les heures qui suivent, Rains a noté que la modélisation des risques est souvent basée sur de prétendues « lignes rouges » qui empêchent l’action de l’État ou une guerre totale.
Pour les conseils d’administration et les dirigeants qui se réuniront la semaine prochaine, il prédit que les questions clés pour les responsables de la sécurité porteront sur la durée maximale pendant laquelle les fonctions commerciales peuvent être mises hors ligne avant que les revenus ou la réputation ne soient affectés.
« Nous sommes moins intéressés par le taux de bloc que par le temps de récupération », explique Rains.
Carbaugh a déclaré que s’il devait assister à une réunion du conseil d’administration cette semaine, il voudrait savoir si l’entreprise devient plus risquée à la lumière de ce qui se passe en Iran. Si la réponse est oui, il voudra savoir ce qui est fait pour atténuer ce problème. Si la réponse est non, il posera d’autres questions.
Les entreprises doivent comprendre quelles mesures sont prises pour garantir qu’elles ne courent aucun risque, comment elles travaillent avec des partenaires et d’autres entreprises pour détecter les attaques, et comment l’IA est actuellement utilisée à cette fin, a déclaré Carbaugh.
Il a réitéré qu’il ne s’agit pas d’une crise avec une solution à court terme, mais qu’elle entraîne plutôt des cyber-risques qui ne disparaîtront pas de sitôt.
« Ce conflit pourrait prendre de nombreux rebondissements et prendre de nombreuses directions différentes », a déclaré Carbaugh. « Je ne pense pas que nous puissions simplement boucler tout cela en quelques jours et passer à autre chose. Cela nécessite une vigilance et une protection constantes de nos cyber-réseaux, de notre sécurité physique et de tous les autres actifs. »
