Au même moment que des frappes militaires, une autre offensive s’est jouée sur les réseaux et les services numériques iraniens. Outre des sites d’information piratés et modifiés, une application de prière, installée sur des millions de téléphones, a aussi été détournée pour diffuser des messages politiques. La confiance numérique devient ainsi un levier de guerre.
L’application BadeSaba Calendar (calendrier religieux / horaires de prière, plus de 5 millions de téléchargements) a, en effet, été piratée pour envoyer des notifications en rafale, sur une trentaine de minutes, juste après les premières explosions à Téhéran le week-end dernier. Le contenu ne ressemblait évidemment pas à des alertes officielles, puisqu’il s’agissait d’appels à la contestation, d’injonctions adressées à des militaires ou encore de promesses d’amnistie en cas de reddition.
Ce canal n’a pas été choisi pour sa sophistication technique, mais pour sa crédibilité auprès de la population. Une app utilisée au quotidien, perçue comme neutre, devient dès lors une sorte de mégaphone. C’est le même mécanisme que dans une entreprise quand un attaquant détourne un outil “légitime” (messagerie interne, portail RH, outil ITSM…) pour pousser un message ou piéger des identifiants. La différence, ici, c’est l’échelle et l’intention : influencer, désorganiser, démoraliser.
Blackout : quand couper Internet devient une arme…
Autre signal important : la chute brutale de la connectivité en Iran observée par des analystes du trafic Internet, avec des décrochages à des horaires précis, jusqu’à une connectivité minimale. NetBlocks a signalé qu’au 2 mars le blackout dépassait 48 heures. Et un blackout, ce n’est pas seulement les réseaux sociaux qui ne fonctionnent plus, ce sont aussi des entreprises qui ne peuvent plus accéder à leurs outils cloud, à leurs paiements, à leurs services de support ; et des équipes IT qui perdent la visibilité (télémétrie, EDR, logs centralisés). Cela constitue un terrain idéal pour la rumeur et la manipulation, parce que vérifier devient totalement impossible.
DDoS + intrusions : la cyber en appui direct d’opérations réelles
Mais d’autres opérations cyber ont eu lieu, notamment des attaques allant du DDoS (pour rendre un service indisponible) à des intrusions plus profondes visant des secteurs sensibles (énergie, aviation) et des systèmes de communication/commandement, avec l’objectif explicite de limiter la coordination et la riposte.
Rappelons que dans une crise ou un affrontement de ce type, pour créer le chaos, il suffit de “casser” ce qui compte. A savoir :
- le site et les apps de services (pour générer de la colère),
- les communications (pour ralentir la décision),
- les systèmes de logistique (pour freiner les flux),
- et un ou deux cas “spectaculaires” pour imposer un récit.
La riposte attendue : wipers, hack-and-leak, et cibles “faciles” en Occident
Les experts s’attendent maintenant à des actions de groupes pro-iraniens contre des cibles israéliennes et américaines, y compris via des DDoS, des opérations de hack-and-leak (vol + diffusion), et des attaques destructrices de type wiper (effacement). Et même si certaines revendications sont souvent exagérées, le risque de débordement sur des organisations alliées est jugé élevé.
D’autant que dans ce type de conflit, les attaquants ne ciblent pas seulement (ni directement) des ministères ou des symboles gouvernementaux. Ils cherchent des portes latérales (prestataires IT, infogéreurs, sous-traitants logistiques, médias, universités, fournisseurs d’accès…) et parfois des entreprises moins protégées, mais connectées à des acteurs critiques.
Moralité : la cyber est désormais utilisée en synchronisation avec le militaire, et la confiance (apps, canaux d’info, services essentiels) est une cible de premier choix. Le reste (l’ampleur exacte, l’attribution, les dégâts précis) demande du temps, des preuves et des recoupements.
