Le ministère de l’intérieur américain alerte sur les capacités cyberoffensives de l’Iran
Le gouvernement américain a publié une alerte de sécurité ce week-end, mettant en garde contre d’éventuels actes de terrorisme et de cyberattaques qui pourraient être perpétrés par l’Iran après le meurtre d’un haut gradé par l’armée américaine vendredi.
L’avertissement se présente sous la forme d’une alerte NTAS (National Terrorism Advisory System), dont le gouvernement américain n’a émis qu’une poignée depuis 2011.
L’alerte a été publiée un jour après qu’une frappe ciblée de drones américains a tué le major général Qassim Suleimani à l’aéroport de Bagdad. La frappe aérienne est intervenue après de violentes manifestations et attaques contre l’ambassade américaine à Bagdad par des partisans soutenus par l’Iran.
Après l’assassinat du général Suleimani, les dirigeants iraniens et plusieurs organisations extrémistes affiliées ont déclaré publiquement qu’ils avaient l’intention de riposter. Le ministère de l’intérieur américain a déclaré que “l’Iran et ses partenaires, tels que le Hezbollah, ont démontré leur intention et leur capacité à mener des opérations aux États-Unis”.
Infrastructures critiques, des cibles de choix
Selon l’alerte NTAS, les scénarios d’attaques possibles pourraient inclure “le repérage et la planification d’attaques contre des cibles structurelles et des cyberattaques contre plusieurs cibles basées aux États-Unis”.
“L’Iran maintient un programme cyberoffensif robuste et peut exécuter des cyberattaques contre les États-Unis”, a déclaré le ministère. “L’Iran est capable, au minimum, de mener des attaques avec des effets perturbateurs temporaires contre des infrastructures critiques aux États-Unis.”
Bien que le secrétaire par intérim de la sécurité intérieure des États-Unis, Chad F. Wolf, ait déclaré qu'”il n’y a pas de menace spécifique et crédible contre la patrie”, l’alerte NTAS prévient également qu’ “une attaque visant le pays peut venir avec peu ou pas d’avertissement”.
Les entreprises de cybersécurité, telles que Crowdstrike et FireEye, pensent que les futures cyberattaques cibleront très probablement les infrastructures critiques des États-Unis, utilisant probablement des logiciels malveillants dotés de capacités destructrices et d’effacement des données, comme l’ont fait par le passé des groupes de piratage parrainés par l’État iranien.
Les groupes de piratage iraniens ont attaqué à plusieurs reprises des cibles américaines au cours de la dernière année, mais l’objectif principal de ces attaques a été le l’espionnage (opération Silent Librarian) ou la cybercriminalité à but financier (groupe de rançongiciels SamSam).
Attaques préventives?
Joe Slowik, un analyste de logiciels malveillants ICS pour Dragos, suggère que les États-Unis devraient adopter une approche proactive et anticiper certaines cyberattaques.
“Les États-Unis (ou des éléments associés aux États-Unis) pourraient utiliser cette période d’incertitude pour perturber ou détruire les nœuds de commandement et de contrôle ou d’infrastructure nécessaire pour contrôler ou lancer des cyberattaques de représailles, bloquant cette capacité avant qu’elle ne puisse être mise en action”, a déclaré Slowik. dans un article de blog publié samedi.
Au moment de la rédaction de cet article, aucune réponse officielle n’avait été signalée comme provenant de groupes de piratage connu soutenu par le gouvernement iranien.
Cependant, nous avons pu constater quelques cyberattaques de bas niveau au cours du week-end. Celles-ci ont pris la forme de dégradations (defacing) de sites Web. Celles-ci ont été confirmées sur une vingtaine de sites Internet.
Un site Web officiel du gouvernement, le portail du Federal Depository Library Program (FDLP), a également été touché. Selon une analyse du piratage, le portail FDLP exécutait une installation Joomla obsolète, ce qui est probablement la façon dont les pirates ont exécuté leur attaque.
In case you don’t know, the Federal Depository Library Program is a network of libraries where copies of all US Govt publications (print and digital) are kept as a means of giving the American public free access. https://t.co/USGDXvVEM0 https://t.co/telnYboq6h
— InfoSecSherpa (@InfoSecSherpa) January 5, 2020
Les attaques semblent avoir été perpétrées par des acteurs peu sophistiqués, sans affiliation avec le régime de Téhéran, avec un historique de dégradations de sites Web remontant à des années. Les attaques semblent être opportunistes, plutôt qu’une opération réelle et bien planifiée.
Pour l’instant, la plupart des retombées du meurtre du général Soleimani semblent se limiter au front politique. Pour commencer, le gouvernement iranien a annoncé aujourd’hui qu’il ne respecterait plus les dispositions contenues dans l’accord nucléaire irano-américain de 2015. De plus, le parlement irakien a également voté pour expulser les troupes américaines du pays.
Entre-temps, le ministère américain a exhorté les citoyens américains à “quitter l’Irak immédiatement”, car leur vie pourrait être en danger et se retrouver prise au milieu de complots terroristes et d’enlèvements.
#Iraq: Due to heightened tensions in Iraq and the region, we urge U.S. citizens to depart Iraq immediately. Due to Iranian-backed militia attacks at the U.S. Embassy compound, all consular operations are suspended. U.S. citizens should not approach the Embassy. pic.twitter.com/rdRce3Qr4a
— Travel – State Dept (@TravelGov) January 3, 2020
Source : ZDNet.com
