1. Accueil
2. Dossiers
3. La cyberpuissance iranienne : une menace réelle ou surestimée ? (2/2)

Au fil des années, l’Iran a développé et structuré son domaine cyber autour de multiples organes étatiques et paraétatiques, formant une galaxie d’acteurs dont plusieurs sont identifiés comme APT.

Les APT iraniens

Un groupe APT désigne une équipe de hackers organisée, généralement soutenue par un État ou une entité puissante, qui mène des cyberattaques ciblées et de longue durée. Contrairement aux virus ou malwares classiques, ces groupes ne cherchent pas seulement à provoquer un dommage immédiat: leur objectif principal est l’espionnage, le sabotage ou la collecte d’informations stratégiques.

Les groupes APT sont identifiés et classés par des sociétés spécialisées en cybersécurité, comme FireEye, Kaspersky, CrowdStrike ou Symantec, qui analysent leurs méthodes, outils et cibles pour suivre leurs activités et alerter les organisations vulnérables.

Les groupes de hackers les plus connus affiliés par les sociétés spécialisées en cybersécurité à l’Iran disposent de multiples noms, ce qui rend leur identification encore plus complexe.

APT34 – OilRig

Selon l’entreprise de cybersécurité LevelBlue, OilRig est actif depuis au moins 2012 et est lié à «un très grand nombre de groupes malveillants d’inspiration iranienne, notamment le ministère iranien du Renseignement et de la Sécurité». Toujours selon LevelBlue, il opère ainsi sous l’autorité d’un organe non militaire, et se concentre sur la collecte de renseignements principalement au Moyen-Orient.

En 2016, selon Palo Alto Networks Unit 42, le groupe mène une opération visant des institutions financières et des organisations technologiques en Arabie saoudite.

En 2021, le groupe mène une campagne visant des organisations libanaises selon l’entreprise de cybersécurité Check Point.

APT33 – Elfin

Selon une étude de Mandiant Threat Intelligence’s Strategic Analysis Team, Elfin est un groupe actif depuis au moins 2013. Il a mené des opérations ciblant particulièrement les États-Unis, l’Arabie saoudite et la Corée du Sud avec un intérêt particulier pour des entités liées au secteur de l’aviation et de la production pétrochimique.

APT35 – Charming Kitten

L’un des groupes les plus connus est Charming Kitten (APT35), dont les premières activités qui lui sont attribuées remontent au milieu des années 2010. Selon l’entreprise de cybersécurité Gatewatcher, il est affilié aux Gardiens de la Révolution et a longtemps été perçu comme une unité de renseignement numérique tournée vers l’espionnage et les opérations d’influence.

Le groupe aurait profité de la défection vers l’Iran de Monica Witt en 2013, une ancienne sous-officière technique de l’US Air Force et contractante du renseignement militaire. En effet, cette dernière va transmettre des informations au gouvernement iranien, leur permettant de mener une cyberoffensive visant ses anciens collègues.

En 2019, les États-Unis inculpent par contumace Monica Witt et quatre Iraniens, Mojtaba Masoumpour, Behzad Mesri, Hossein Parvar et Mohamad Paryar, affiliés selon eux au groupe et responsables de l’attaque.

En 2017, le groupe mène une cyberattaque contre HBO, menaçant de divulguer des scripts d’épisodes télévisés, dont ceux de Game of Thrones, si une rançon n’est pas payée. Au total, l’attaque a entraîné la fuite de 1,5 téraoctet de données.

En 2019, le groupe a mené, selon Microsoft, plus de 2 700 tentatives d'identification de comptes de messagerie appartenant à des clients Microsoft spécifiques. Toujours selon l’entreprise, les comptes ciblés étaient associés à la campagne présidentielle américaine, à des responsables gouvernementaux américains actuels et anciens, à des journalistes couvrant la politique internationale et à des personnalités iraniennes vivant à l'étranger.

Puis en 2020, selon Reuters, Charming Kitten a mené une opération contre des universitaires et des journalistes critiques du gouvernement iranien, dont Erfan Kasraie et Hassan Sarbakhshian. En se faisant passer pour des journalistes de médias comme CNN ou The Wall Street Journal, le groupe tentait de récupérer leurs identifiants de messagerie.

MuddyWater

Selon l’entreprise de cybersécurité Group-IB, MuddyWatter est considéré comme une branche du ministère iranien du Renseignement. Actif depuis au moins 2017, le groupe est spécialisé dans le cyberespionnage et a ciblé un large éventail d’entités gouvernementales et d’entreprises principalement au Moyen-Orient et en Amérique du Nord.

Il est connu pour avoir mené en 2020 une opération de cyberespionnage visant des entités gouvernementales israéliennes et des organisations de télécommunications. En 2022, le département du Trésor américain met en place des sanctions visant le groupe.

Selon un rapport de l’entreprise de cybersécurité Dream daté de février 2026, le groupe a mené plusieurs campagnes de phishing entre février et octobre 2025 ciblant notamment Israël.

Moses Staff

Selon l’entreprise de cybersécurité Cybereason, Moses Staff a été repéré pour la première fois en octobre 2021 et a pour cible principale Israël. Son objectif serait davantage politique que financier, le groupe ne réclamant pas de rançon. Il combine des actions d’espionnage et de sabotage.

CyberAv3ngers

Selon le département d’État américain, le groupe est affilié aux Gardiens de la Révolution. CyberAv3ngers s’est fait connaître en 2023 pour des cyberattaques visant des systèmes industriels et notamment des contrôleurs logiques programmables utilisés dans des réseaux d’eau et d’énergie aux États-Unis et en Israël.

Le département d’État américain, dans le cadre du programme Rewards for Justice, propose une récompense allant jusqu’à 10 millions de dollars pour toute information sur le groupe.

Des méthodes d’actions assez simples

Ces groupes et structures de hackers utilisent principalement des techniques et logiciels déjà connus. Ils font notamment des attaques de type phishing (utilisées pour voler des identifiants) ou encore par déni de service (DoS) qui visent par exemple à rendre impossible l'accès à un serveur web. Ils sont également connus pour leur capacité en exfiltration de données. Des groupes sont cependant soupçonnés d’avoir mené des attaques de plus grande ampleur.

En 2012, le virus «Shamoon» détruit environ 30 000 postes informatiques du géant pétrolier saoudien Aramco. Cette cyberattaque d’une ampleur inédite est alors attribuée à l’Iran par les autorités américaines. Les États-Unis accusent également deux hackers iraniens d’avoir infecté avec le virus «SamSam» près de 200 municipalités et établissements aux États-Unis et au Canada.

Outre les attaques informatiques, ces groupes utilisent également des techniques d’influence dans le cadre de la guerre de l’information. «Les Iraniens sont très forts en ingénierie sociale, ils sont très présents sur les réseaux sociaux, notamment pour faire de la désinformation», confirme un expert en cybersécurité qui a requis l’anonymat. «Au Liban, il y a eu une utilisation de proxies par les Iraniens pour influencer les réseaux sociaux de certains pays», ajoute-t-il.

L’ingénierie sociale est une technique de manipulation psychologique utilisée en cybersécurité pour amener une personne à divulguer des informations sensibles, cliquer sur un lien malveillant ou accomplir une action compromettante, en exploitant la confiance, la peur, l’urgence ou l’autorité plutôt qu’une faille technique.

En 2020, selon Reuters, des centaines de comptes fictifs contrôlés par des groupes iraniens sont identifiés et supprimés sur les réseaux sociaux. Ils diffusaient depuis au moins 2011 des messages pro-Iran et tentaient d’influencer les électeurs dans des pays comme les États-Unis et le Royaume-Uni.

En outre, selon un rapport de l’entreprise Cyabra publié en 2026, qui a analysé les discours sur les réseaux sociaux concernant les manifestations récentes en Iran, 25% des profils impliqués étaient inauthentiques. Toujours selon le rapport, un nombre important de ces profils inauthentiques provenait du Liban.

Une cyberpuissance relative

Si la menace de vagues de cyberattaques iraniennes est régulièrement évoquée dans les médias, l’Iran n’est cependant pas le seul pays apte à s’investir dans la cyberguerre, et il fait face à d’autres pays très performants comme Israël ou les États-Unis.

Pour évaluer la puissance d’un pays dans le domaine cyber, il convient ainsi de regarder ses capacités offensives et défensives. «La capacité cyberdéfensive du gouvernement iranien est faible, leur réseau est ouvert à tout vent », estime un expert en cybersécurité qui a requis l’anonymat, pour qui «si on regarde en termes de volume, les principales activités cyberiraniennes visent surtout l’opposition à l’intérieur et à l’extérieur du pays».

En effet, selon le National Cyber Power Index 2022 du Belfer Center de Harvard Kennedy School, l’Iran est classé 28ᵉ en termes de capacité de défense, alors qu’il est classé 3ᵉ pour la capacité de surveillance et 5ᵉ pour la capacité de destruction. Les activités des groupes de hackers liés à la République islamique se concentrent ainsi davantage sur l’opposition iranienne que sur les pays étrangers. Néanmoins, ils seraient théoriquement aptes à mener des attaques destructrices en temps de guerre.

«Tout le paradoxe, c’est que sur le papier leur capacité est largement supérieure à ce qu’elle est réellement. «Il y a un très bon système universitaire en Iran avec des universités comme celle de Sharif», souligne l’expert, «mais le problème ce n’est pas la formation mais de s’assurer que les étudiants restent dans le pays». Marqué depuis de nombreuses années par une fuite des cerveaux massive, l’Iran peine ainsi à conserver ses talents en matière de cybersécurité.

Les craintes de cyberattaques massives en provenance de l’Iran paraissent ainsi exagérées, d’autant que les groupes ne semblent pas réellement plus actifs en temps de guerre. Une tendance également observée par l’expert, pour qui «ces réseaux ont toujours une activité sous-jacente». «Il n’y a pas eu d’augmentation de leurs activités à l’international ni pendant la guerre de 12 jours, ni durant les évènements récents, mais il y a eu un ciblage beaucoup plus fort de certains acteurs à l’intérieur du pays», estime-t-il.