Trace Id is missing

L’Iran responsable des attaques contre Charlie Hebdo

Gros plan d’une planète

Aujourd’hui, le centre d’analyse des menaces numériques (DTAC) de Microsoft attribue une récente opération d’influence visant le journal satirique français Charlie Hebdo à un acteur étatique iranien. Microsoft appelle cet acteur NEPTUNIUM, qui a également été identifié par le département de la Justice des États-Unis comme  Emennet Pasargad.

Début janvier, un groupe en ligne inconnu se faisant appeler « Holy Souls », que nous pouvons désormais identifier comme NEPTUNIUM, a affirmé avoir obtenu les données personnelles de plus de 200 000 clients de Charlie Hebdo après avoir « accédé à une base de données ». À titre de preuve, Holy Souls a publié un exemple des données, qui comprenait une feuille de calcul détaillant les noms complets, les numéros de téléphone et les adresses personnelles et courriel des comptes qui s’étaient abonnés au journal ou qui avaient acheté des numéros. Ces informations, obtenues par l’acteur iranien, pourraient exposer les abonnés du journal à un risque de ciblage en ligne ou physique par des organisations extrémistes.

Nous pensons que cette attaque est une réponse du gouvernement iranien à un concours de caricatures organisé par Charlie Hebdo. Un mois avant l’attaque de Holy Souls, le journal a annoncé qu’il organiserait un concours international de caricatures « ridiculisant » le guide suprême iranien Ali Khamenei. Le numéro contenant les caricatures gagnantes devait être publié début janvier, pour coïncider avec le huitième anniversaire de l’attaque des bureaux du journal par deux assaillants missionnés par Al-Qaida dans la péninsule arabique (AQPA).

Holy Souls a mis en vente le cache de données pour 20 BTC (soit environ 340 000 USD à l’époque). La publication de l’ensemble des données volées, à supposer que les pirates disposent réellement des données qu’ils prétendent posséder, constituerait essentiellement un doxing massif du lectorat d’une publication qui a déjà fait l’objet de menaces extrémistes (2020) et d’attaques terroristes meurtrières (2015). Le journal français Le Monde a pu confirmer « auprès de multiples victimes de cette fuite » la véracité de l’exemple de document publié par Holy Souls, afin d’éviter que les données client prétendument volées ne soient considérées comme fabriquées.

Après la publication d’exemples de données par Holy Souls sur YouTube et sur de nombreux forums de pirates informatiques, la fuite a été amplifiée par une opération concertée sur plusieurs plateformes de réseaux sociaux. Un ensemble particulier de tactiques, de techniques et de procédures (TTP) d’influence dont le DTAC avait déjà été témoin lors d’opérations d’influence iraniennes de piratage et de fuite, a contribué à cet effort d’amplification.

L’attaque a coïncidé avec les critiques du gouvernement iranien à l’égard des caricatures. Le 4 janvier, le ministre iranien des Affaires étrangères, Hossein Amir-Abdollahian, a tweeté : « L’acte insultant et discourtois de la publication française […] contre l’autorité religieuse et politico-spirituelle ne […] restera pas sans réponse. » Le même jour, le ministère iranien des affaires étrangères a convoqué l’ambassadeur de France en Iran en raison de « l’insulte » proférée par Charlie Hebdo. Le 5 janvier, l’Iran a fermé l’Institut Français de Recherche en Iran dans ce que le ministère iranien des Affaires étrangères a qualifié de « première étape », et a déclaré qu’il « suivrait sérieusement l’affaire et prendrait les mesures nécessaires. »

Plusieurs éléments de l’attaque ressemblent à des attaques antérieures menées par des acteurs étatiques iraniens :

  • Hacktiviste revendiquant la cyberattaque
  • Revendications de défacement réussi d’un site web
  • Fuite de données privées en ligne
  • Utilisation de « faux-nez » (comptes de sociaux utilisant des identités fictives ou volées pour dissimuler le véritable propriétaire du compte à des fins de tromperie) inauthentiques sur les réseaux sociaux prétendant être originaires du pays ciblé par le piratage pour promouvoir la cyberattaque en utilisant un langage comportant des erreurs évidentes pour les locuteurs natifs
  • Usurpation d’identité de sources faisant autorité
  • Contact avec des médias d’information

Bien que l’attribution que nous faisons aujourd’hui soit basée sur un ensemble plus large de renseignements dont dispose l’équipe DTAC de Microsoft, le schéma observé ici est typique des opérations commanditées par l’État iranien. Ces schémas ont également été identifiés par le FBI dans sa notification pour le secteur privé (PIN) d’octobre 2022 comme étant utilisés par des acteurs liés à l’Iran pour mener des opérations de cyberinfluence.

La campagne visant Charlie Hebdo s’est appuyée sur des dizaines de comptes de faux-nez en français pour amplifier la campagne et diffuser des messages antagonistes. Le 4 janvier, les comptes, dont beaucoup ont peu d’abonnés et d’abonnements, et ont été créés récemment, ont commencé à publier des critiques des caricatures de Khamenei sur Twitter. Il est important de noter qu’avant que la cyberattaque présumée n’ait fait l’objet d’un rapport substantiel, ces comptes ont publié des captures d’écran identiques d’un site web défacé qui comprenait le message en français : « Charlie Hebdo a été piraté ».

Quelques heures après que les faux-nez ont commencé à tweeter, ils ont été rejoints par au moins deux comptes de réseaux sociaux se faisant passer pour des figures d’autorité françaises : l’un usurpant l’identité d’un cadre du secteur des hautes technologies et l’autre du rédacteur en chef de Charlie Hebdo. Ces comptes, tous deux créés en décembre 2022 et comptant peu d’abonnés, ont ensuite commencé à publier des captures d’écran des données clients de Charlie Hebdo ayant fait l’objet d’une fuite et provenant de Holy Souls. Les comptes ont depuis été suspendus par Twitter.

Faux compte Twitter du rédacteur en chef de Charlie Hebdo publiant des captures d’écran de données clients ayant fait l’objet d’une fuite
Un compte usurpant l’identité du rédacteur en chef de Charlie Hebdo, tweetant sur les fuites

L’utilisation de ces comptes de faux-nez a été observée dans d’autres opérations liées à l’Iran, notamment une attaque revendiquée par Atlas Group, partenaire de Hackers of Savior, que le FBI a attribuée à l’Iran en 2022. Lors de la Coupe du monde 2022, Atlas Group a affirmé avoir « pénétré dans les infrastructures » [sic] et défacé un site web sportif israélien. Sur Twitter, des comptes de faux-nez en hébreu, et l’usurpation de l’identité d’un journaliste sportif d’une chaîne d’information israélienne populaire ont amplifié l’attaque. Le faux compte du journaliste a publié qu’après avoir voyagé au Qatar, il avait conclu que les Israéliens ne devraient « pas voyager dans les pays arabes ».

En plus des captures d’écran des données divulguées, les comptes de faux-nez ont affiché des messages sarcastiques en français, notamment : « Pour moi, le prochain sujet des caricatures de Charlie devrait être les experts français en cybersécurité. » Ces mêmes comptes ont également été vus en train de tenter de relancer la nouvelle du piratage présumé en répondant par des tweets à des publications et à des journalistes, dont le quotidien jordanien al-Dustour, le journal algérien Echorouk et le journaliste du Figaro Georges Malbrunot. D’autres comptes de faux-nez ont affirmé que Charlie Hebdo travaillait pour le compte du gouvernement français et que ce dernier cherchait à détourner l’attention du public des grèves.

Selon le FBI, l’un des objectifs des opérations d’influence iraniennes est de « saper la confiance du public dans la sécurité du réseau et des données de la victime, ainsi que d’embarrasser les entreprises victimes et les pays ciblés. » En effet, le message de l’attaque contre Charlie Hebdo ressemble à celui d’autres campagnes liées à l’Iran, comme celles revendiquées par Hackers of Savior, un personnage affilié à l’Iran qui, en avril 2022, a prétendu infiltrer la cyber-infrastructure des principales bases de données israéliennes et a publié un message avertissant les Israéliens : « Ne vous fiez pas à vos centres de gouvernement. »

Quoi que l’on puisse penser des choix éditoriaux de Charlie Hebdo, la divulgation de données personnelles concernant des dizaines de milliers de ses clients constitue une grave menace. Le 10 janvier, le commandant du Corps des gardiens de la révolution islamique d’Iran, Hossein Salami, a mis en garde contre la « vengeance » en réponse à la publication en citant l’exemple de l’auteur Salman Rushdie, qui a été poignardé en 2022. Et Salami d’ajouter : « Rushdie ne reviendra pas. »

L’attribution que nous faisons aujourd’hui est basée sur le cadre d’attribution du DTAC.

Microsoft investit dans le suivi et le partage d’informations sur les opérations d’influence des États-nations afin que les clients et les démocraties du monde entier puissent se protéger contre des attaques telles que celle contre Charlie Hebdo. Nous continuerons à publier des renseignements de ce type lorsque nous verrons des opérations similaires menées par des gouvernements et des groupes criminels dans le monde entier.

Matrice d’attribution des opérations d’influence 1

Matrice des opérations de cyberinfluence, sous forme de graphique

Articles connexes

Défendre l’Ukraine : Les premières leçons à tirer de la cyberguerre

Les derniers résultats de nos efforts en matière de veille des menaces dans le cadre de la guerre entre la Russie et l’Ukraine, ainsi qu’une série de conclusions tirées de ses quatre premiers mois, renforcent la nécessité de poursuivre et d’accroître les investissements dans la technologie, les données et les partenariats afin de soutenir les gouvernements, les entreprises, les ONG et les universités.

Cyber-résilience

Sécurité Microsoft a mené une enquête auprès de plus de 500 professionnels de la sécurité dans le but de comprendre les tendances émergentes en la matière et les principales préoccupations des responsables de la sécurité des systèmes d’information.

Informations tirées de milliards de signaux de sécurité quotidiens

Les experts en sécurité Microsoft éclairent le paysage des menaces d’aujourd’hui, en fournissant des informations sur les tendances émergentes ainsi que sur les menaces historiquement persistantes.

Suivez la Sécurité Microsoft