Le ministère américain de la Justice a formellement accusé le gouvernement iranien d’exploiter un réseau de groupes hacktivistes, dont le célèbre Handala, responsable des récentes cyberattaques contre des cibles américaines. Cela marque une escalade significative dans le cyber-conflit en cours entre les deux pays, les États-Unis prenant des mesures directes pour démanteler les opérations d’influence numérique de l’Iran.
L’opération Handala : une personnalité parrainée par l’État
Selon le DOJ, le ministère iranien du Renseignement et de la Sécurité (Vevak) utilise Handala comme une opération sous fausse bannière. Le groupe se présente comme un collectif d’activistes indépendants tout en servant en réalité d’outil de guerre psychologique, de cyberattaques et de campagnes de désinformation. Handala revendique la responsabilité d’incidents de piratage informatique, publie des données volées et profère même de violentes menaces contre des journalistes, des dissidents et des citoyens israéliens.
Le DOJ a agi rapidement, saisissant deux sites Web liés à Handala peu après que le groupe ait revendiqué la responsabilité d’une attaque destructrice contre Stryker, une entreprise américaine de technologie médicale. La faille Stryker a effacé les données de dizaines de milliers d’appareils d’employés. Handala a justifié l’attaque comme des représailles à une frappe aérienne américaine qui, selon l’Iran, a tué 168 enfants.
Extension de la portée : au-delà de Stryker
Cette opération ne se limite pas à l’attaque Stryker. Le ministère de la Justice a également saisi les domaines utilisés par un autre personnage hacktiviste soutenu par l’Iran, « Justice Homeland », lié à une cyberattaque de 2022 contre le gouvernement albanais. Cette attaque a mis hors ligne les serveurs du gouvernement et volé des données sensibles, Microsoft confirmant de manière indépendante l’implication iranienne.
L’affidavit du FBI indique que Handala, Justice Homeland et un troisième groupe appelé Karma Below font tous partie de la même opération coordonnée, dirigée par les mêmes individus. Cela suggère une infrastructure de cyberguerre centralisée et parrainée par l’État.
Réponse de l’Iran et opérations en cours
Handala a qualifié les actions américaines de « tentatives désespérées de faire taire » le groupe. Malgré les saisies, Handala a déjà créé de nouveaux domaines pour poursuivre ses opérations, selon les chercheurs en cybersécurité. Les États-Unis ont reconnu qu’ils poursuivraient leurs efforts en matière de perturbations, le directeur du FBI, Kash Patel, déclarant qu’ils avaient « supprimé quatre des piliers de leurs opérations et que nous n’avons pas fini ».
La complexité de l’attribution
Même si les preuves du DOJ sont solides, il peut être difficile d’attribuer les cyberattaques aux acteurs étatiques. Selon Alex Orleans, responsable du renseignement sur les menaces chez Sublime Security, les individus derrière le personnage de Handala ne sont peut-être pas les mêmes pirates informatiques qui ont mené les attaques. Le Vevak pourrait utiliser des équipes distinctes pour les opérations et maintenir l’image d’un « activiste » auprès du public.
Cela suggère une couche délibérée de déni, dans laquelle le Vevak maintient une distance plausible par rapport à l’activité réelle de piratage tout en contrôlant le récit à travers ces personnages.
L’action américaine révèle une cyber-opération iranienne sophistiquée conçue pour déstabiliser les adversaires par le biais d’une guerre numérique secrète. Cette affaire met en lumière la frontière floue entre le piratage informatique parrainé par l’État et les mouvements hacktivistes, suscitant des inquiétudes quant à l’avenir des cyberconflits.
