Des hacktivistes iraniens revendiquent l'attaque de la plateforme Truth Social de Trump après les frappes sur les sites nucléaires

La DHS s'attend à des attaques sur les systèmes critiques américains

Des hacktivistes iraniens revendiquent l'attaque de la plateforme Truth Social de Trump après les frappes sur les sites nucléaires,
la DHS s'attend à ce que les cyberforces iraniennes ciblent les systèmes d'infrastructures critiques américains

Alors que le monde entier attendait de voir comment l'Iran allait réagir aux frappes militaires américaines de samedi sur trois sites nucléaires iraniens, un groupe d'hacktivistes affirme avoir attaqué une chose chère au président Donald Trump : sa plateforme Truth Social.

Le groupe de réflexion à but non lucratif Center for Internet Security (CIS) et les organismes de surveillance des médias sociaux multiples ont confirmé que le groupe d'hacktivistes d'obédience iranienne appelé « 313 Team » a revendiqué la responsabilité d'une attaque par déni de service distribué (DDoS) contre la plateforme Truth Social de Donald Trump, quelques heures seulement après les frappes américaines. La plateforme Truth Social a été mise hors service peu après 20 heures (heure de l'Est) samedi, quelques instants après que Trump a annoncé les frappes sur son compte.

Les utilisateurs qui ont tenté d'accéder à la plateforme pendant la panne ont été confrontés à des messages indiquant : « Network failed ... Please try again. » (Échec du réseau ... Veuillez réessayer). Cet événement mêle haute tension géopolitique et cybersécurité, dans un contexte où la frontière entre théâtre militaire et infrastructure numérique devient de plus en plus floue.

Dans le paysage complexe de la cyberguerre moderne, les frontières entre les conflits physiques et les affrontements numériques s'estompent de plus en plus. L'attaque récente par déni de service distribué (conçue pour submerger une page web avec du trafic de robots jusqu'à ce que la page tombe en panne) contre la plateforme Truth Social de Donald Trump, revendiquée par le groupe de hacktivistes « 313 Team » aligné sur l'Iran, en est une illustration frappante. Cet incident, survenu quelques heures seulement après des frappes militaires américaines en Iran, offre une étude de cas précieuse pour comprendre les mécanismes, les motivations et les implications des cyberattaques dans un contexte géopolitique tendu.

La « 313 Team » ferait partie d'un réseau plus large de hacktivistes pro-russes et pro-palestiniens connus pour avoir ciblé des infrastructures publiques, des sites web gouvernementaux et des entreprises technologiques en Israël et ailleurs. Cette revendication de cyberattaque intervient alors que l'on craint de plus en plus des représailles numériques de la part de l'Iran.


Le spectre des acteurs : hacktivisme et cyberguerre d'influence

Le groupe « 313 Team » se positionne dans la sphère du hacktivisme, une forme de cyberactivité motivée par des idéologies politiques ou sociales. Cependant, leur alignement avec des groupes pro-russes et pro-palestiniens, et leur action en réponse à des frappes américaines, soulèvent des questions sur la nature exacte de leur autonomie. S'agit-il d'un groupe indépendant agissant par conviction, ou d'un « proxy » étatique, utilisé pour mener des opérations avec un certain degré de déni plausible ?

La distinction est cruciale. Les États peuvent utiliser des groupes de hacktivistes ou des cybercriminels alignés pour mener des attaques, brouillant ainsi la piste de l'attribution et évitant une escalade directe. Ces groupes sont souvent motivés par une combinaison d'idéologie, de reconnaissance et parfois de récompenses financières. Leur modus operandi se concentre généralement sur la perturbation (DDoS), la défiguration de sites web (defacement) et la fuite de données (data leaks) pour générer un impact maximal et propager leur message. L'attaque contre Truth Social s'inscrit parfaitement dans cette logique de guerre informationnelle et de perturbation symbolique.


Renforcer la sécurité des systèmes

La semaine dernière, le ministère américain de la sécurité intérieure (DHS) a publié un bulletin avertissant que des pirates informatiques liés à l'Iran pourraient chercher à cibler les réseaux américains en réponse au soutien apporté par les États-Unis aux frappes aériennes israéliennes. « Les cyberacteurs affiliés au gouvernement iranien donneront probablement la priorité aux attaques de représailles contre des cibles israéliennes à court terme, mais pourraient cibler des réseaux américains en raison de leur perception du soutien des États-Unis aux frappes israéliennes », a déclaré le DHS.

Le bulletin demande instamment aux infrastructures nationales essentielles d'évaluer et de renforcer « immédiatement » leur sécurité.

Selon le groupe de réflexion à but non lucratif Center for Internet Security, qui a informé les forces de l'ordre, de telles attaques ont déjà infiltré les systèmes d'approvisionnement en eau et de traitement des eaux usées aux États-Unis.

Le Centre craint également que l'Iran, à la suite de frappes militaires israéliennes, n'utilise des « tactiques grossières ou d'escalade » ou des réseaux informels si ses capacités sont dégradées. « La probabilité de telles attaques augmentera si les États-Unis frappent l'Iran ou fournissent ouvertement un soutien militaire à la campagne aérienne israélienne », a déclaré le groupe.

Le Centre a également estimé que le réseau considérable de groupes mandataires de l'Iran pourrait être en mesure de frapper les intérêts américains au Moyen-Orient, bien que leur capacité à frapper le territoire américain soit plus limitée.

Ces groupes, moins sophistiqués, pourraient néanmoins perturber les infrastructures publiques et le secteur privé.


Le bulletin de la NTAS reflète des années d'observation de cyberattaques iraniennes visant des systèmes américains

Sous les ordres de Trump, des bombardiers américains ont frappé les installations nucléaires de Fordow, Natanz et Ispahan en Iran dans la nuit de samedi à dimanche, aggravant une tension qui dure depuis des années entre les deux pays et qui s'est manifestée dans le cadre de pourparlers visant à dissuader Téhéran de se doter d'une arme nucléaire. Il y a un peu plus d'une semaine, Israël a lancé sa propre incursion contre des responsables militaires et des scientifiques iraniens, au motif que l'Iran n'avait jamais été aussi proche de se doter de l'arme nucléaire.

L'objectif des frappes était de détruire « la capacité d'enrichissement nucléaire de l'Iran » et d'éliminer « la menace nucléaire posée par le premier État soutenant le terrorisme dans le monde », a déclaré Trump samedi. « Les frappes ont été un succès militaire spectaculaire ».

Le bulletin de la NTAS reflète des années d'observation de cyberattaques iraniennes visant des systèmes américains. Le commandement cyber-électronique du Corps des gardiens de la révolution islamique d'Iran et le gang affilié des « Cyber Av3ngers » ont pénétré dans les infrastructures hydrauliques américaines à la fin de 2023, en réponse à la guerre d'Israël contre le Hamas.

Pendant le cycle électoral de 2024, le FBI, le Bureau du directeur du renseignement national et l'Agence pour la cybersécurité et la sécurité des infrastructures ont conclu que l'Iran avait volé des documents sensibles à la campagne de Trump et les avait transmis aux médias dans l'espoir qu'ils soient publiés en ligne.

Les pirates iraniens ont tendance à lancer des attaques par déni de service distribué (conçues pour submerger une page web avec du trafic de robots jusqu'à ce que la page tombe en panne) contre des entités des secteurs de l'aérospatiale, du pétrole, du gaz et des télécommunications, a déclaré Brian Harrell, un ancien secrétaire adjoint du ministère de la sécurité intérieure qui a servi pendant le premier mandat de Trump.

« La stratégie cybernétique de l'Iran est probablement [en] coopération avec la Russie, ce qui, compte tenu des tensions actuelles, pourrait être une réelle possibilité. Les capacités iraniennes ont certainement augmenté depuis les attaques “Shamoon” utilisées contre les compagnies pétrolières à l'époque », a ajouté Harrell, faisant référence au virus de 2012 qui a paralysé quelque 30 000 ordinateurs chez les principaux fournisseurs d'énergie.

Sources : ministère américain de la sécurité intérieure, captures d'écran, Center for Internet Security

Et vous ?

Compte tenu de la sophistication croissante des attaques DDoS et des techniques d'évasion, quelles sont les lacunes majeures des mesures de cyberdéfense actuelles, et comment les entreprises comme Truth Social peuvent-elles les combler de manière proactive ?

Truth Social était-il techniquement prêt à encaisser une montée de charge liée à des événements géopolitiques majeurs ? Quel type d’architecture (cloud, on-premise, hybride) aurait pu limiter les effets de l’attaque ?

Les plateformes politiquement sensibles devraient-elles être soumises à des audits de cybersécurité publics et réguliers ?

L'attaque contre Truth Social, bien que symbolique, soulève la question de la résilience des infrastructures numériques. Quelles leçons les opérateurs d'infrastructures critiques (énergie, transports, santé) peuvent-ils tirer de ce type d'incident pour renforcer leur propre défense contre des attaques similaires ?